Положение Банка России от 17.04.2019 N 683-П (ред. от 06.12.2023) "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" (Зарегистрировано в Минюсте России 16.05.2019 N 54637)
Зарегистрировано в Минюсте России 16 мая 2019 г. N 54637
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
от 17 апреля 2019 г. N 683-П
ОБЯЗАТЕЛЬНЫХ ДЛЯ КРЕДИТНЫХ ОРГАНИЗАЦИЙ ТРЕБОВАНИЙ
К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ
БАНКОВСКОЙ ДЕЯТЕЛЬНОСТИ В ЦЕЛЯХ ПРОТИВОДЕЙСТВИЯ
ОСУЩЕСТВЛЕНИЮ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ
БЕЗ СОГЛАСИЯ КЛИЕНТА
1. Требования к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента применяются для обеспечения защиты информации, подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (далее соответственно - автоматизированные системы, защищаемая информация, осуществление банковских операций):
информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (далее - электронные сообщения), формируемых работниками кредитных организаций (далее - работники) и (или) клиентами кредитных организаций (далее - клиенты);
информации, необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;
информации об осуществленных банковских операциях;
информации, связанной с приемом к исполнению и исполнением распоряжений пользователя платформы цифрового рубля;
(в ред. Указания Банка России от 06.12.2023 N 6620-У)
(см. текст в предыдущей редакции)
ключевой информации средств криптографической защиты информации (далее - СКЗИ), в том числе средств электронной подписи, используемой при осуществлении банковских операций (далее - криптографические ключи).
(в ред. Указания Банка России от 06.12.2023 N 6620-У)
(см. текст в предыдущей редакции)
В случае если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года N 152-ФЗ "О персональных данных" (далее - Федеральный закон "О персональных данных").
(абзац введен Указанием Банка России от 06.12.2023 N 6620-У)
2. Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, включают в себя:
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций (далее - объекты информационной инфраструктуры);
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении банковской деятельности, применяемые в отношении технологии обработки защищаемой информации;
иные требования к обеспечению защиты информации при осуществлении банковской деятельности в соответствии с пунктами 6 - 9 настоящего Положения.
3. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении объектов информационной инфраструктуры.
Системно значимые кредитные организации, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень защиты информации.
Кредитные организации, не относящиеся к кредитным организациям, указанным в абзаце втором настоящего подпункта, должны реализовывать стандартный уровень защиты информации.
Кредитные организации, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце втором настоящего подпункта.
3.2. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
В отношении прикладного программного обеспечения автоматизированных систем и приложений, не указанных в абзаце первом настоящего подпункта, кредитные организации должны самостоятельно определять необходимость сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений.
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
4.2. По решению кредитной организации оценка соответствия программного обеспечения автоматизированных систем и приложений проводится самостоятельно или с привлечением организации, имеющей лицензию на осуществление деятельности по технической защите конфиденциальной информации для проведения работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79 (Собрание законодательства Российской Федерации, 2012, N 7, ст. 863; 2016, N 26, ст. 4049) (далее - проверяющая организация).
(пп. 4.2 в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
4.3. В случае принятия кредитной организацией решения о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений кредитные организации, являющиеся системно значимыми кредитными организациями, кредитными организациями, значимыми на рынке платежных услуг (в отношении программного обеспечения автоматизированных систем и приложений, указанных в пункте 1.2 Положения Банка России от 4 июня 2020 года N 719-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированного Министерством юстиции Российской Федерации 23 сентября 2020 года N 59991), должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76, зарегистрированным Министерством юстиции Российской Федерации 11 сентября 2020 года N 59772 (далее - приказ ФСТЭК России N 76).
Кредитные организации, принявшие решение о необходимости проведения сертификации программного обеспечения автоматизированных систем и приложений и не указанные в абзаце первом настоящего подпункта, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 76.
(пп. 4.3 введен Указанием Банка России от 18.02.2022 N 6071-У)
5. Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации.
Указанные в абзаце втором настоящего подпункта требования по реализации мер по использованию усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения, не применяются в случае, если в целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом при передаче электронных сообщений используются выделенные контролируемые сегменты вычислительных сетей, доступ к которым нарушителем невозможен, и угрозы нарушения целостности электронных сообщений определены кредитными организациями как неактуальные, что обосновано в модели угроз и нарушителей безопасности информации.
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; 2019, N 52, ст. 7794) (далее - Федеральный закон "Об электронной подписи").
(пп. 5.1 в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
5.2. Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, указанной в абзацах втором - пятом пункта 1 настоящего Положения, при совершении следующих действий (далее - технологические участки):
(в ред. Указания Банка России от 06.12.2023 N 6620-У)
(см. текст в предыдущей редакции)
идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций, в том числе идентификация клиентов при создании сертификатов ключей проверки электронных подписей и выдаче таких сертификатов клиентам в соответствии с требованиями пункта 1 части 1 статьи 13 Федерального закона "Об электронной подписи" в целях осуществления операций с цифровыми рублями;
(в ред. Указания Банка России от 06.12.2023 N 6620-У)
(см. текст в предыдущей редакции)
формирование (подготовка), передача и прием электронных сообщений;
удостоверение права клиентов распоряжаться денежными средствами;
осуществление банковской операции, учет результатов ее осуществления;
хранение электронных сообщений и информации об осуществленных банковских операциях.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце третьем подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
двойной контроль посредством осуществления проверки правильности формирования (подготовки) электронных сообщений;
входной контроль посредством осуществления проверки правильности заполнения полей электронного сообщения и прав владельца электронной подписи;
контроль дублирования электронного сообщения (в случае если проведение такой процедуры дополнительно установлено кредитной организацией с учетом положений пункта 2.2 Положения Банка России от 29 июня 2021 года N 762-П "О правилах осуществления перевода денежных средств", зарегистрированного Министерством юстиции Российской Федерации 25 августа 2021 года N 64765, 25 апреля 2022 года N 68320);
структурный контроль электронных сообщений;
защиту при передаче по каналам связи защищаемой информации.
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце четвертом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
подписание клиентом электронных сообщений способом, указанным в подпункте 5.1 настоящего пункта;
Технология обработки защищаемой информации, применяемая на технологическом участке, указанном в абзаце пятом подпункта 5.2 настоящего пункта, дополнительно должна обеспечивать:
проверку соответствия (сверку) выходных электронных сообщений с соответствующими входными электронными сообщениями;
проверку соответствия (сверку) результатов осуществления банковских операций с информацией, содержащейся в электронных сообщениях;
направление клиентам уведомлений об осуществлении банковских операций в случае, когда такое уведомление предусмотрено законодательством Российской Федерации или договором.
Кредитные организации должны реализовывать механизмы подтверждения использования клиентом адреса электронной почты в случае его использования во взаимоотношениях с кредитной организацией, на который кредитной организацией направляются уведомления о совершаемых банковских операциях, справки (выписки) по совершенным банковским операциям.
В случае использования единой системы идентификации и аутентификации, определенной в соответствии с пунктом 5 статьи 2 Федерального закона от 29 декабря 2022 года N 572-ФЗ "Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных, о внесении изменений в отдельные законодательные акты Российской Федерации и признании утратившими силу отдельных положений законодательных актов Российской Федерации" (далее - единая система идентификации и аутентификации), кредитные организации должны соблюдать требования к обеспечению защиты информации в соответствии с Техническими требованиями к взаимодействию информационных систем в единой системе межведомственного электронного взаимодействия, утвержденными приказом Министерства связи и массовых коммуникаций Российской Федерации от 23 июня 2015 года N 210 (зарегистрирован Минюстом России 25 августа 2015 года, регистрационный N 38668, с изменениями, внесенными приказом Министерства связи и массовых коммуникаций Российской Федерации от 22 февраля 2017 года N 71 (зарегистрирован Минюстом России 2 июня 2017 года, регистрационный N 46934), а также требования технической и эксплуатационной документации по подключению к единой системе идентификации и аутентификации.
(абзац введен Указанием Банка России от 06.12.2023 N 6620-У)
(пп. 5.2.1 в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
5.2.2. Кредитные организации должны обеспечивать регистрацию результатов выполнения действий, связанных с осуществлением доступа к защищаемой информации, на всех технологических участках, указанных в подпункте 5.2 настоящего пункта, которая включает регистрацию действий работников, а также регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
5.2.3. Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;
присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат осуществления банковской операции (успешная или неуспешная);
идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).
дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;
присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);
5.2.5. Кредитные организации должны обеспечивать хранение:
информации, указанной в абзацах втором, четвертом пункта 1 настоящего Положения;
информации, указанной в подпунктах 5.2.3 и 5.2.4 настоящего пункта, пункте 8 настоящего Положения.
Кредитные организации должны обеспечивать целостность и доступность информации, указанной в настоящем подпункте, не менее пяти лет начиная с даты ее формирования (поступления).
6. Обеспечение защиты информации с помощью СКЗИ при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, осуществляется в соответствии с Федеральным законом "Об электронной подписи", Федеральным законом "О персональных данных", постановлением Правительства Российской Федерации от 1 ноября 2012 года N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" (Собрание законодательства Российской Федерации, 2012, N 45, ст. 6257), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620, и технической документацией на СКЗИ.
В случае наличия в технической документации на СКЗИ требований к оценке влияния аппаратных, программно-аппаратных и программных средств сети (системы) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявляемых к ним требований, такая оценка должна проводиться в соответствии с Положением ПКЗ-2005 по техническому заданию, согласованному с федеральным органом исполнительной власти в области обеспечения безопасности.
6.2. Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией.
6.3. Безопасность процессов изготовления криптографических ключей СКЗИ должна обеспечиваться комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.
7. Кредитные организации должны обеспечивать формирование для клиентов рекомендаций по защите информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код) в целях противодействия осуществлению переводов денежных средств без согласия клиента.
мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом совершались действия в целях осуществления банковской операции;
мерах по контролю конфигурации устройства, с использованием которого клиентом совершаются действия в целях осуществления банковской операции, и своевременному обнаружению воздействия вредоносного кода.
(п. 7.1 введен Указанием Банка России от 18.02.2022 N 6071-У)
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
Кредитные организации устанавливают во внутренних документах порядок фиксации инцидентов защиты информации в базе событий в соответствии с пунктами 7.3 и 7.5 Положения Банка России от 8 апреля 2020 года N 716-П и информационного обмена со службой управления рисками, создаваемой в соответствии с пунктом 3.6 Указания Банка России от 15 апреля 2015 года N 3624-У "О требованиях к системе управления рисками и капиталом кредитной организации и банковской группы", зарегистрированного Министерством юстиции Российской Федерации 26 мая 2015 года N 37388, 28 декабря 2015 года N 40325, 7 декабря 2017 года N 49156, 5 сентября 2018 года N 52084, 3 июня 2020 года N 58576.
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации.
По каждому инциденту защиты информации кредитные организации должны обеспечивать регистрацию:
защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к защищаемой информации;
результата реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.
Кредитные организации должны осуществлять информирование Банка России, в том числе на основании запросов Банка России:
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов, принятых мерах и проведенных мероприятиях по реагированию на выявленные кредитной организацией или Банком России инциденты защиты информации, включенные в перечень типов инцидентов, а также о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети "Интернет", выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия;
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
о сайтах в сети "Интернет", которые используются кредитной организацией для осуществления банковской деятельности, принадлежащих кредитной организации и (или) администрируемых в ее интересах.
(в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
Информация о рекомендуемых форме и сроке предоставления кредитными организациями Банку России сведений размещается на официальном сайте Банка России в сети "Интернет".
Кредитные организации должны предоставлять в Банк России сведения с использованием технической инфраструктуры (автоматизированной системы) Банка России. В случае возникновения технической невозможности взаимодействия кредитных организаций с Банком России с использованием технической инфраструктуры (автоматизированной системы) Банка России кредитные организации должны предоставлять в Банк России сведения с использованием резервного способа взаимодействия. Информация о технической инфраструктуре (автоматизированной системе) Банка России, резервном способе взаимодействия размещается на официальном сайте Банка России в сети "Интернет".
(абзац введен Указанием Банка России от 18.02.2022 N 6071-У)
(п. 9 в ред. Указания Банка России от 18.02.2022 N 6071-У)
(см. текст в предыдущей редакции)
Кредитные организации должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.
10. Настоящее Положение не распространяется на отношения, регулируемые Федеральным законом от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736).
При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитными организациями, являющихся объектами критической информационной инфраструктуры Российской Федерации, настоящее Положение применяется наряду с требованиями Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".
(абзац введен Указанием Банка России от 18.02.2022 N 6071-У)
--------------------------------
<*> Официально опубликовано на сайте Банка России 21.05.2019.
Пункт 4 настоящего Положения вступает в силу с 1 января 2020 года.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Директор
Федеральной службы безопасности
Российской Федерации
А.В.БОРТНИКОВ
Федеральной службы по техническому
и экспортному контролю
В.В.СЕЛИН
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2025 год
- МРОТ 2025
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2025 год
- Частичная мобилизация: обзор новостей