Указание Банка России от 05.06.2013 N 3007-У
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 5 июня 2013 г. N 3007-У
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА
N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ
ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ
ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"
1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.
1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".
1.2. Пункт 2.2 дополнить абзацами следующего содержания:
"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:
привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;
привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".
1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:
"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;
идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;
определение порядка использования информации, необходимой для выполнения аутентификации;
регистрацию действий при осуществлении доступа своих работников к защищаемой информации;
регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);
регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);
код, соответствующий выполняемому действию;
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).
Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).
Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.
Оператор по переводу денежных средств определяет во внутренних документах:
порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
подлежащий регистрации идентификатор устройства;
порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.
Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".
1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:
"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.
Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).
Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".
1.5. В пункте 2.15:
подпункт 2.15.2 дополнить абзацем следующего содержания:
"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";
подпункт 2.15.3 дополнить абзацами следующего содержания:
"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:
заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
сроки проведения оценки соответствия;
сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".
1.6. В приложении 2:
строку П.28 изложить в следующей редакции:
строку П.29 изложить в следующей редакции:
после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:
строку П.59 изложить в следующей редакции:
после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:
строку П.109 изложить в следующей редакции:
после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:
2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.
Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".
3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ