Глава 3. Меры по защите информации при оказании услуг по передаче ФС с использованием СПФС

Глава 3. Меры по защите информации при оказании услуг

по передаче ФС с использованием СПФС

3.1. Пользователи в части требований по защите информации при обмене ФС обеспечивают выполнение следующих требований.

3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Размещение в сегментах (группах сегментов) вычислительных сетей, в которых расположены объекты информационной инфраструктуры, используемые при обмене ФС, иных объектов информационной инфраструктуры не допускается.

АРМ обмена должно быть реализовано в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.

Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с привлечением отдельных работников для выполнения функций операторов, администраторов и администраторов информационной безопасности в каждом из контуров <6>.

--------------------------------

<6> В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие уровни защиты информации, определенные ГОСТ Р 57580.1-2017.

Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.

Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце пятом настоящего подпункта, должны реализовывать стандартный уровень (уровень 2) защиты информации.

Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце пятом настоящего подпункта.

Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.

3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, а также состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ФС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ФС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ФС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 6 к настоящим Условиям.

3.1.4. Передача и прием ФС Пользователя осуществляются с использованием автоматизированного рабочего места клиента Банка России - пользователя СПФС.

Автоматизированное рабочее место обмена ФС должно быть реализовано с помощью программного обеспечения, предоставляемого Банком России, - программного комплекса "Автоматизированное рабочее место клиента Банка России - пользователя системы передачи финансовых сообщений".

3.1.5. Пользователи должны обеспечивать хранение входящих и исходящих ФС, подписанных электронной подписью, не менее пяти лет.

3.1.6. При обмене ФС между Пользователем и Банком России должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Пользователь признают, что:

внесение изменений в ФС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

3.1.7. Криптографические ключи, используемые при обмене ФС между Пользователем и Банком России, должны изготавливаться Пользователем в соответствии с Условиями управления криптографическими ключами, указанными в приложении 3 к настоящим Условиям.

3.1.8. Пользователи должны обеспечивать защиту ФС при их направлении в СПФС посредством:

формирования ФС и контроля реквизитов ФС в соответствии с приложением 8 к настоящим Условиям;

применения первого варианта защиты, предусмотренного Альбомом ЭС;

шифрования ФС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <7>.

--------------------------------

<7> Абзац 6 подпункта 3.1.8 пункта 3.1 настоящих Условий для Пользователей, не являющихся кредитными организациями, вступает в силу с 01.01.2025.

3.2. Пользователи должны информировать Банк России о нарушениях требований к обеспечению защиты информации при обмене ФС.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервных способов взаимодействия.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Пользователь должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервных способах взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://www.cbr.ru/information_security/fincert/.

3.3. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 4 к настоящим Условиям.

3.4. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <8> при проведении проверки выполнения требований к защите информации.

--------------------------------

<8> Способ предоставления информации указывается в запросе Банка России.

Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности Пользователя к обмену ФС с использованием СПФС, в том числе в подразделении Пользователя.

Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, одним из указанных ниже способов, доступных Пользователю (в случае если способ направления не указан в акте проверки):

с использованием личного кабинета;

через систему МЭДО;

письмом на бумажном носителе, подписанным руководителем Пользователя либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

До начала обмена ФС Пользователь представляет в подразделение Банка России, в котором заключен Договор с Пользователем, акт о готовности Пользователя к обмену ФС с использованием СПФС, форма которого приведена в приложении 2 к настоящим Условиям одним из указанных ниже способов, доступных Пользователю (в случае если способ направления не определен в Договоре):

с использованием личного кабинета;

через систему МЭДО;

письмом на бумажном носителе, подписанным руководителем Пользователя либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности Пользователя к обмену ФС с использованием СПФС, Пользователь обязан представить в подразделение Банка России, в котором заключен Договор с Пользователем, актуальную информацию не позднее следующего рабочего дня после внесения изменений одним из указанных ниже способов, доступных Пользователю (в случае если способ направления не определен в Договоре):

с использованием личного кабинета;

через систему МЭДО;

письмом на бумажном носителе, подписанным руководителем Пользователя либо уполномоченным лицом (при отсутствии возможности направления способами, указанными выше).