Рейтинг@Mail.ru

Указание Банка России от 05.06.2013 N 3007-У

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ

от 5 июня 2013 г. N 3007-У

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА

N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ

ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ

ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"

1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.

1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".

1.2. Пункт 2.2 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:

привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;

привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".

1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:

"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;

идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;

определение порядка использования информации, необходимой для выполнения аутентификации;

регистрацию действий при осуществлении доступа своих работников к защищаемой информации;

регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;

выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;

регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);

регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);

код, соответствующий выполняемому действию;

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).

Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).

Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

Оператор по переводу денежных средств определяет во внутренних документах:

порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

подлежащий регистрации идентификатор устройства;

порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.

Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".

1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:

"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".

1.5. В пункте 2.15:

подпункт 2.15.2 дополнить абзацем следующего содержания:

"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";

подпункт 2.15.3 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:

заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

сроки проведения оценки соответствия;

сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".

1.6. В приложении 2:

строку П.28 изложить в следующей редакции:

строку П.29 изложить в следующей редакции:

после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:

строку П.59 изложить в следующей редакции:

после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:

строку П.109 изложить в следующей редакции:

после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:

2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.

Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".

3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.

Председатель Центрального банка

Российской Федерации

С.М.ИГНАТЬЕВ

Другие документы по теме
"О размере процентных ставок по кредитам, обеспеченным активами или поручительствами"
(ред. от 01.08.2005) "Об упорядочении актов Банка России"
"О внесении изменений в Положение Банка России от 24 декабря 2004 года N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт" (Зарегистрировано в Минюсте РФ 30.10.2006 N 8416)
"О признании утратившим силу Указания Банка России от 19 декабря 2013 года N 3146-У "О распространении действия нормативных и иных актов Банка России, определяющих полномочия территориальных учреждений Банка России, на Главное управление Центрального банка Российской Федерации по Центральному федеральному округу г. Москва и входящие в его состав отделения"
Ошибка на сайте