"Порядок взаимодействия участников процесса поддержания актуального состояния функционально-технических требований к средствам криптографической защиты информации"
Утверждаю
Заместитель Председателя
Банка России
Д.Г.СКОБЕЛКИН
28.02.2020 N ФТ-56-3/36
Согласовано
Директор Департамента
информационной безопасности
Банка России
В.А.УВАРОВ
05.02.2020
ПОРЯДОК
ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ПРОЦЕССА ПОДДЕРЖАНИЯ АКТУАЛЬНОГО
СОСТОЯНИЯ ФУНКЦИОНАЛЬНО-ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ К СРЕДСТВАМ
КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ
1. Общие положения
1.1. Настоящий порядок определяет порядок обновления функционально-технических требований к средствам криптографической защиты информации, установленных пунктом 2.20 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - порядок).
К средствам криптографической защиты информации относятся: аппаратный модуль безопасности (HSM-модуль), платежные устройства с терминальным ядром, а также платежные карты.
1.2. Для внесения изменений в функционально-технические требования Банк России формирует рабочую группу из представителей:
- структурных подразделений Банка России;
- ФСБ России;
- платежных систем;
- разработчиков банковского программного обеспечения;
- разработчиков аппаратных модулей безопасности (HSM-модуль);
- разработчиков платежных устройств с терминальным ядром;
- разработчиков платежных карт.
1.3. Порядок вводится в действие с момента утверждения.
2. Порядок обновления функционально-технических требований
2.1. Заседания рабочей группы проводятся не реже одного раза в квартал.
2.2. Каждый член рабочей группы вправе инициировать внесение изменений в функционально-технические требования в связи с изменениями действующих стандартов технических площадок и направить свои предложения в Банк России.
Перечень технических площадок приведен в приложении N 1.
2.3. Ответственным за мониторинг деятельности технических площадок PCI и EMV, разрабатываемых в них стандартов является АО "НСПК". По результатам мониторинга технических площадок PCI и EMV АО "НСПК" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.
2.4. Ответственным за мониторинг деятельности технической площадки Global Platform и разрабатываемых в ней стандартов является АО "НИИМЭ". По результатам мониторинга технической площадки Global Platform АО "НИИМЭ" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.
2.5. Ответственным за мониторинг деятельности технической площадки ТК26 и разрабатываемых в ней стандартов является АО "ИнфоТеКС". По результатам мониторинга технической площадки ТК26 АО "ИнфоТеКС" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.
2.6. Заявки, связанные с инициированием изменений, рассматриваются рабочей группой на очередном заседании.
Форма инициирования изменений приведена в приложении N 2.
2.7. Рабочей группой принимается решение о целесообразности внесения такого рода изменений. По результатам заседания рабочей группы Банк России осуществляет внесение изменений в функционально-технические требования.
2.8. Информация об изменениях доводится до операторов по переводу денежных средств и операторов платежных систем путем направления письма в установленном порядке.
Приложение N 1
Перечень технических площадок:
- Global Platform;
- PCI;
- EMV;
- ТК26;
- ТК122.
Приложение N 2
Форма инициирования изменений
Процессы
Операции (подпроцессы)
Классификация устройств
HSM аппаратный модуль
Платежные устройства с терминальным ядром
Платежные карты (криптомодуль, приложение)
функционал
стандарт
функционал
стандарт
функционал
стандарт
Наименование процесса
Наименование операции