С 01.08.2024 применяется новая форма договора, утв. Банком России.

Приложение 12

к договору об обмене электронными

сообщениями при переводе денежных

средств в рамках платежной

системы Банка России

ТРЕБОВАНИЯ

К ЗАЩИТЕ ИНФОРМАЦИИ, ВЫПОЛНЯЕМЫЕ

КЛИЕНТОМ - ПОЛЬЗОВАТЕЛЕМ СПФС <63>

--------------------------------

<63> Приложение включается в Договор с Клиентом - пользователем СПФС.

1. Клиент в части требований к защите информации при обмене ЭС через СПФС обеспечивает выполнение следующих требований.

1.1. Общие требования к обеспечению защиты информации.

Клиент обеспечивает защиту:

информации, содержащейся в ФС;

ключей КА (ЭП) и ключей шифрования, используемых при обмене ЭС;

информации об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;

информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, содержащейся в ФС.

1.2. Требования к организационному и документационному обеспечению защиты информации.

1.2.1. Для защиты информации при осуществлении доступа к объектам информационной инфраструктуры Клиент должен обеспечивать доступ к АРМ обмена только из сегмента локальной вычислительной сети, в котором расположен АРМ обмена с СПФС (далее - участок обмена с СПФС).

1.2.2. В целях фиксации решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации и обеспечения применения указанных мер Клиентом должны быть разработаны документы в соответствии с перечнем процедур, регламентируемых в целях обеспечения информационной безопасности (пункт 2 настоящего приложения). Документы, регламентирующие процедуры по информационной безопасности, должны быть согласованы со службой информационной безопасности Клиента.

1.2.3. Документы, указанные в пункте 1.2.2 настоящего приложения, должны определять порядок обеспечения защиты информации и предусматривать меры по обеспечению защиты информации на всех стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры участка обмена с СПФС.

1.2.4. Клиент должен обеспечивать выполнение требований эксплуатационной документации на системы защиты информации от несанкционированного доступа (далее - СЗИ от НСД), СКЗИ, средства защиты от воздействий вредоносного кода (далее - СЗ от ВВК) в течение всего срока их эксплуатации, в том числе при установке и настройке, а также обеспечить восстановление указанных технических средств защиты информации в случаях сбоев и (или) отказов в их работе.

1.3. Требования к защите информации при физическом доступе к участку обмена с СПФС.

1.3.1. Клиент осуществляет контроль физического доступа к объектам информационной инфраструктуры в целях предотвращения физического воздействия на средства вычислительной техники, применяемые для формирования, обработки, контроля и передачи ЭС, с использованием организационных мер или технических средств контроля и управления доступом в помещения, в которых формируются, обрабатываются, контролируются и передаются (принимаются) ЭС (далее - помещения).

1.3.2. Физический доступ в помещения должен предоставляться только тем работникам Клиента, которые указаны в списке доступа в данные помещения.

1.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.

1.3.4. Срок хранения информации систем видеонаблюдения и контроля доступа), предусмотренных пунктом 1.3.3 настоящего приложения, должен составлять не менее трех лет.

1.4. Требования к защите информации при логическом доступе к участку обмена с СПФС.

1.4.1. Процедуры идентификации, аутентификации и авторизации при логическом доступе работников Клиента к участку обмена с СПФС должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субъектов доступа, которым предоставлен логический доступ к участку обмена с СПФС.

1.4.2. В целях регистрации действий при осуществлении логического доступа работников к участку обмена с СПФС и действий, связанных с назначением и распределением прав логического доступа, а также обеспечения хранения указанной информации должно быть обеспечено ведение следующих электронных журналов:

журналов логического доступа к информационным ресурсам СПФС (далее - журналы логического доступа);

журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам СПФС (далее - журналы операций);

журналов средств защиты информации.

Сроки хранения журналов логического доступа, журналов операций и журналов средств защиты информации должны составлять не менее трех лет.

1.4.3. В целях защиты информации от несанкционированного доступа журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности Клиента и работникам, осуществляющим обслуживание объектов информационной инфраструктуры на участке обмена с СПФС. Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности Клиента. Внесение исправлений в журналы операций не допускается.

1.5. Требования к использованию технологических мер защиты информации.

1.5.1. Функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена или с использованием специальной компоненты АС Клиента.

1.5.2. Для защиты ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления, уничтожения и ложной авторизации программным обеспечением АРМ обмена или специальной компоненты АС Клиента должны выполняться только функции, предусмотренные пунктом 1.5.1 настоящего приложения.

1.5.3. Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется Клиентом путем регистрации всех операций в технологических процессах, осуществляемых на участке обмена с СПФС, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры.

1.5.4. В целях обеспечения возможности восстановления информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, а также обеспечения сверки выходных ЭС с соответствующими входными и обработанными ЭС Клиент должен хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее пяти лет.

1.6. Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС.

1.6.1. В целях контроля несанкционированного внесения изменений в состав установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС программного обеспечения должен осуществляться контроль целостности программного обеспечения АРМ обмена при каждом включении.

1.6.2. В целях учета и контроля состава программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС, Клиент должен вести актуальный перечень указанного программного обеспечения.

1.7. Требования к защите информации от воздействий вредоносного кода на участке обмена с СПФС.

1.7.1. На участке обмена с СПФС Клиент должен использовать СЗ от ВВК различных производителей и обеспечивать их раздельную установку на персональных электронных вычислительных машинах и серверах.

1.7.2. Клиент должен проводить предварительную проверку программного обеспечения и средств вычислительной техники на отсутствие вредоносного кода перед их включением в участок обмена с СПФС.

1.7.3. В целях информирования пользователей СПФС об обнаружении вредоносного кода или факта воздействия вредоносного кода Клиент должен вести статистику событий, связанных с воздействиями вредоносного кода на участке обмена с СПФС.

1.7.4. Сроки хранения данных о событиях, связанных с воздействиями вредоносного кода на участке обмена с СПФС и их анализе, должны составлять не менее трех лет.

1.8. Требования по применению СКЗИ на участке обмена с СПФС.

1.8.1. В целях предотвращения несанкционированного использования криптографических ключей при организации работы с криптографическими ключами Клиентом должно обеспечиваться выполнение следующих требований:

исключение возможности доступа неуполномоченных лиц к криптографическим ключам;

использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;

использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами по окончании рабочего дня, а также вне времени работы с СКЗИ (допускается хранение носителей с криптографическими ключами в хранилище вместе с иными документами при условии помещения носителей с криптографическими ключами в отдельный опечатываемый контейнер);

информирование Банка в случае возникновения или подозрения на возникновение события, определяемого владельцем ключа КА (ЭП), ключа шифрования как ознакомление неуполномоченного лица (лиц) его криптографическим ключом, и инициирование действий по внеплановой смене криптографического ключа в порядке, установленном в приложении 4 к Договору;

исключение возможности выполнения следующих действий:

изготовления несанкционированных копий с носителей криптографических ключей;

ознакомления с содержанием носителей криптографических ключей или передача носителей криптографических ключей лицам, не имеющим прав доступа к носителям криптографических ключей;

вывода криптографических ключей на дисплей электронной вычислительной машины (далее - ЭВМ) или устройства вывода (печати) текстовой или графической информации;

установки носителей криптографических ключей в считывающее устройство ЭВМ, на которой осуществляется функционирование СКЗИ в нештатных режимах, а также на другие ЭВМ, не предназначенные для работы в соответствии с настоящим Договором;

записи на носители криптографических ключей любой информации, за исключением криптографического ключа.

1.8.2. В целях обеспечения безопасности процессов изготовления криптографических ключей при выходе из строя носителя с рабочей копией криптографического ключа необходимо с использованием программного обеспечения СКЗИ изготовить новый носитель с рабочей копией криптографического ключа на основе носителя, содержащего оригинал криптографического ключа.

1.9. Требования к повышению осведомленности работников в области обеспечения защиты информации.

1.9.1. В целях обеспечения повышения осведомленности работников в области обеспечения защиты информации Клиент должен проводить и документально фиксировать обучение работников по вопросам обеспечения информационной безопасности на участке обмена с СПФС с привлечением службы информационной безопасности Клиента.

1.9.2. Клиентом должны быть назначены лица, ответственные за разработку, реализацию планов и программ обучения по вопросам информационной безопасности на участке обмена с СПФС.

1.10. Требования к информированию Банка о выявленных инцидентах и хранению информации об инцидентах.

1.10.1. Клиент информирует Банк о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации на участке обмена с СПФС (далее - инциденты), а также о подозрениях, о возникновении или о возможности возникновения инцидентов на участке обмена с СПФС. Информирование осуществляется Клиентом в произвольной форме путем направления сообщения на электронный адрес fincert@cbr.ru либо путем инициирования запроса о передаче данных сведений с применением мер и средств защиты информации не позднее трех часов после выявления инцидента.

1.10.2. В целях анализа обеспечения защиты информации при осуществлении обмена ЭС Клиент должен документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.

1.10.3. Срок хранения информации об инцидентах должен составлять не менее трех лет с даты возникновения инцидента.

1.11. Требования к обеспечению восстановления функционирования технических средств на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.

1.11.1. Клиент должен разработать и утвердить план ОНиВД, согласованный со службой информационной безопасности Клиента и предусматривающий мероприятия по восстановлению функционирования технических средств защиты информации и объектов информационной инфраструктуры на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.

1.11.2. Клиентом должны быть назначены работники, ответственные за функционирование технических средств защиты информации на участке обмена с СПФС, в том числе за ОНиВД.

1.12. Требования по контролю выполнения требований к защите информации.

1.12.1. В целях обеспечения проведения оценки требований к обеспечению защиты информации при обмене ЭС Клиент должен проводить и документально подтверждать проведение контроля выполнения требований к защите информации (далее - контроль ТЗИ), установленных настоящим Договором. Контроль ТЗИ и его анализ должен проводиться Клиентом не реже одного раза в квартал.

1.12.2. Срок хранения информации о результатах проведения контроля ТЗИ и решениях, принятых по результатам указанного контроля, должен составлять не менее трех лет с даты проведения контроля ТЗИ.

2. Клиент в целях обеспечения информационной безопасности при обмене ЭС выполняет следующие регламентированные процедуры.

N п/п

Процедура/Наименование документа

1.

Назначение куратора по информационной безопасности

2.

Создание подразделений (назначение работников), ответственных за организацию и контроль обеспечения защиты информации, а также выделение им необходимых ресурсов

3.

Основные положения о службе информационной безопасности Клиента (в том числе полномочия)

4.

Назначение работников, ответственных за выполнение порядка обеспечения защиты информации на участке обмена с СПФС, и определение их функций и задач

5.

Организация обеспечения информационной безопасности с учетом требований настоящего Договора

6.

Обеспечение защиты информации при осуществлении переводов денежных средств с использованием информационно-телекоммуникационной сети "Интернет"

7.

Определение участка обмена с СПФС

8.

Функции и задачи работников при осуществлении контроля ТЗИ

9.

Организация защиты от воздействия вредоносного кода

10.

Проведение предварительной проверки программного обеспечения и СВТ на отсутствие вредоносного кода

11.

Перечень и описание объектов информационной инфраструктуры участка обмена с СПФС

12.

Порядок уничтожения неиспользуемой защищаемой информации на стадиях жизненного цикла объектов информационной инфраструктуры участка обмена с СПФС

13.

Перечень средств защиты информации, используемых на участке обмена с СПФС

14.

Учет и контроль программного обеспечения, установленного на средствах вычислительной техники участка обмена с СПФС

15.

Состав и порядок применения организационных мер и технических средств защиты информации на участке обмена с СПФС

16.

Функции и задачи работников, ответственных за процессы реагирования на инциденты на участке обмена с СПФС

17.

Порядок действий по выявлению и реагированию на инциденты на участке обмена с СПФС

18.

Перечень и сроки проведения контроля ТЗИ

19.

Перечень и сроки проведения мероприятий по обучению и повышению информированности работников по вопросам защиты информации

20.

Программа обучения работников по вопросам защиты информации

21.

Перечень лиц, имеющих доступ к объектам информационной инфраструктуры участка обмена с СПФС, и порядок осуществления доступа

22.

Перечень лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств

23.

Перечень лиц, обладающих правами по формированию электронных сообщений на АРМ обмена

24.

Описание функций и задач пользователей программных и технических средств, эксплуатируемых на участке обмена с СПФС, а также персонала, обеспечивающего эксплуатацию и администрирование указанных средств

25.

Функции и задачи работников, ответственных за обеспечение непрерывности и восстановление деятельности Клиента, в том числе функционирования технических средств защиты информации

26.

План ОНиВД Клиента

27.

Порядок действий по обеспечению непрерывности и восстановлению деятельности Клиента и функционирования технических средств защиты информации

28.

Технологические процессы подготовки, приема, ввода, обработки и передачи ЭС

29.

Информация о СКЗИ, применяемых на участке обмена с СПФС, порядок обращения с СКЗИ на всех этапах жизненного цикла СКЗИ, основные положения об обеспечении безопасности криптографических ключей

30.

Перечень работников, обладающих правами по управлению криптографическими ключами

31.

Перечень работников, допущенных к работе со СКЗИ на участке обмена с СПФС

32.

Назначение лица, ответственного за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ), а также назначение постоянно действующих комиссий по уничтожению СКЗИ, назначение лиц, ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей

33.

Перечень работников, обладающих правами доступа в помещения участка обмена с СПФС

34.

Перечень программного обеспечения для каждого объекта информационной инфраструктуры

35.

Акты установки (настройки) СЗ от ВВК

36.

Акты установки (настройки) СКЗИ на технических средствах участка обмена с СПФС

37.

Результаты контроля ТЗИ и решения, принятые по результатам контроля ТЗИ с указанием участников, оснований для проведения контроля и объекта контроля ТЗИ