Рейтинг@Mail.ru
  • Главная
  • Нормативно-правовые акты
  • Указание / Указания
  • Указание Банка России от 05.06.2013 N 3007-У О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств (Зарегистрировано в Минюсте России 01.07.2013 N 28930)

Указание Банка России от 05.06.2013 N 3007-У

Возможно к документу появились изменения и комментарии
Ссылка откроется в вашей учетной записи. Если у вас еще нет доступа в систему, вы сможете бесплатно оформить его на 2 дня
Проверить в КонсультантПлюс Проверить в КонсультантПлюс
Возможно к документу появились изменения и комментарии
Проверить в КонсультантПлюс Проверить в КонсультантПлюс

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ

от 5 июня 2013 г. N 3007-У

О ВНЕСЕНИИ ИЗМЕНЕНИЙ

В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА

N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ

ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ

ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"

1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.

1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".

1.2. Пункт 2.2 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:

привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;

привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".

1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:

"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;

идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;

определение порядка использования информации, необходимой для выполнения аутентификации;

регистрацию действий при осуществлении доступа своих работников к защищаемой информации;

регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;

выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;

регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);

регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);

код, соответствующий выполняемому действию;

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).

Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).

Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

Оператор по переводу денежных средств определяет во внутренних документах:

порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

подлежащий регистрации идентификатор устройства;

порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.

Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".

1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:

"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".

1.5. В пункте 2.15:

подпункт 2.15.2 дополнить абзацем следующего содержания:

"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";

подпункт 2.15.3 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:

заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

сроки проведения оценки соответствия;

сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".

1.6. В приложении 2:

строку П.28 изложить в следующей редакции:

строку П.29 изложить в следующей редакции:

после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:

строку П.59 изложить в следующей редакции:

после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:

строку П.109 изложить в следующей редакции:

после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:

2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.

Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".

3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.

Председатель Центрального банка

Российской Федерации

С.М.ИГНАТЬЕВ

Другие документы по теме
Указание Банка России от 13.09.2012 N 2876-У
"О размере процентных ставок по кредитам, обеспеченным активами или поручительствами"
Указание Банка России от 14.01.2004 N 1371-У
(ред. от 01.08.2005) "Об упорядочении актов Банка России"
Указание Банка России от 21.09.2006 N 1725-У
"О внесении изменений в Положение Банка России от 24 декабря 2004 года N 266-П "Об эмиссии банковских карт и об операциях, совершаемых с использованием платежных карт" (Зарегистрировано в Минюсте РФ 30.10.2006 N 8416)
Указание Банка России от 30.08.2016 N 4112-У
"О признании утратившим силу Указания Банка России от 19 декабря 2013 года N 3146-У "О распространении действия нормативных и иных актов Банка России, определяющих полномочия территориальных учреждений Банка России, на Главное управление Центрального банка Российской Федерации по Центральному федеральному округу г. Москва и входящие в его состав отделения"
Ошибка на сайте