"Условия по защите информации для участников платформы цифрового рубля"
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УСЛОВИЯ
ПО ЗАЩИТЕ ИНФОРМАЦИИ ДЛЯ УЧАСТНИКОВ ПЛАТФОРМЫ
ЦИФРОВОГО РУБЛЯ
(применяются с 01.01.2025)
1. Настоящие условия по защите информации для участников платформы цифрового рубля (далее - настоящие условия) являются неотъемлемой частью договора счета цифрового рубля между оператором платформы цифрового рубля и участником платформы цифрового рубля, который является кредитной организацией (далее - Клиент).
2. Открытие счета цифрового рубля Клиента и предоставление Клиенту доступа к платформе цифрового рубля осуществляются при условии готовности выполнения Клиентом требований к обеспечению защиты информации для участников платформы цифрового рубля, установленных нормативным актом Банка России на основании статьи 82.10 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (далее - Федеральный закон N 86-ФЗ), пункта 7 части 1, части 3 статьи 30.7 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ).
3. Банк России проверяет готовность выполнения Клиентом требований, указанных в пункте 2 настоящих условий, на основании полученного от Клиента акта о готовности выполнения требований к обеспечению защиты информации для участников платформы цифрового рубля, форма которого приведена в приложении к настоящим условиям (далее - акт), и документов, указанных в пункте 5 настоящих условий.
В ходе проверки Банк России вправе запросить у Клиента пояснения относительно содержания полученных от Клиента документов, дополнительные сведения и документы, связанные с обеспечением защиты информации, а также провести проверку готовности выполнения указанных требований по месту осуществления деятельности Клиента.
4. Акт предоставляется Клиентом в подразделение Банка России, обслуживающее корреспондентский счет Клиента, в электронном виде посредством личного кабинета, ссылка на который размещена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - личный кабинет), в соответствии с порядком взаимодействия, установленным Банком России на основании частей 1 и 4 статьи 73.1 Федерального закона N 86-ФЗ, частей 1 и 4 статьи 35.1 Федерального закона N 161-ФЗ.
5. К акту прилагаются документы, подтверждающие полномочия заместителя руководителя Клиента на утверждение акта, распорядительный документ о создании комиссии для проверки готовности выполнения требований, указанных в пункте 2 настоящих условий, и документы, подтверждающие готовность выполнения Клиентом указанных требований.
Приложение
к Условиям по защите информации
для участников платформы
цифрового рубля
УТВЕРЖДАЮ
(личная подпись, Ф.И.О. заместителя руководителя Клиента <1>)
(полное фирменное наименование кредитной организации)
"__" __________________ г.
N п/п
Требования к обеспечению защиты информации
Сведения и/или документы, подтверждающие готовность выполнения Клиентом требований к обеспечению защиты информации
1
Объекты информационной инфраструктуры, используемые при обеспечении возможности совершения операций с цифровыми рублями, размещены Клиентом в выделенных сегментах (группах сегментов) вычислительных сетей.
2
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиентом, являющимся кредитной организацией, которая определена как системно значимая в соответствии с частью шестой статьи 57 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" и (или) значимой на рынке платежных услуг в соответствии с частью второй статьи 30.5 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), обеспечено применение организационных и технических мер, реализующих усиленный уровень защиты информации, предусмотренный пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер" (далее - ГОСТ Р 57580.1-2017).
Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиентом, не являющимся системно значимой кредитной организацией и (или) кредитной организацией, значимой на рынке платежных услуг, в целях обеспечения защиты информации обеспечено применение мер защиты информации, реализующих стандартный уровень защиты информации, предусмотренный пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
3
Клиентом определены во внутренних документах:
3.1
Состав организационных мер защиты информации и порядок их применения, а также состав технических средств защиты информации и порядок их использования.
3.2
Порядок подготовки, обработки, передачи и хранения сообщений в электронном виде, связанных с осуществлением операций с цифровыми рублями (далее - электронные сообщения) и защищаемой информации, предусмотренной нормативным актом Банка России, устанавливающим требования к обеспечению защиты информации для участников платформы цифрового рубля (далее - участник платформы), с использованием объектов информационной инфраструктуры.
3.3
Список лиц (за исключением пользователей платформы цифрового рубля (далее - пользователь платформы)), допущенных к работе со средствами криптографической защиты информации (далее - СКЗИ), с определением прав использования криптографических ключей.
3.4
Список лиц (за исключением пользователей платформы), ответственных за обеспечение функционирования и безопасности СКЗИ (ответственные пользователи СКЗИ).
3.5
Список лиц (за исключением пользователей платформы), обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.
3.6
Состав технологических мер защиты информации, используемых для контроля целостности, подтверждения подлинности и обеспечения конфиденциальности электронных сообщений на этапах их подготовки, обработки, передачи и хранения, и правила их применения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ.
4
Обеспечение защиты информации Клиентом с использованием СКЗИ осуществляется в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, требованиями технической документации на СКЗИ, включая требования к проведению оценки влияния аппаратных, программно-аппаратных и программных средств сети (систем) конфиденциальной связи, совместно с которыми предполагается штатное функционирование СКЗИ, на выполнение предъявленных к ним требований.
5
Защита электронных сообщений обеспечивается Клиентом в соответствии с альбомом электронных сообщений, предусмотренным частью 6 статьи 30.7 Федерального закона N 161-ФЗ.
6
Формирование и подписание электронных сообщений Клиента обеспечено Клиентом с использованием автоматизированной системы Клиента.
7
Формирование и подписание электронных сообщений пользователя платформы обеспечено Клиентом в электронном средстве платежа на основе программного обеспечения, позволяющего пользователю платформы составлять, удостоверять и передавать распоряжения, установленного на техническом устройстве пользователя платформы (включая смартфон, планшетный компьютер) или в другой системе дистанционного банковского обслуживания (далее - приложение Клиента) с использованием ключа электронной подписи пользователя платформы или в автоматизированной системе Клиента с использованием ключа электронной подписи Клиента (при составлении Клиентом распоряжений от имени пользователя платформы в соответствии с частью 5 статьи 7.1 Федерального закона N 161-ФЗ).
8
При подписании электронных сообщений пользователя платформы в приложении Клиента, являющемся программным обеспечением для мобильных устройств (далее - мобильное приложение), Клиентом обеспечено применение программного обеспечения, распространяемого оператором платформы цифрового рубля (далее - оператор платформы), в составе мобильного приложения.
9
Клиентом обеспечено хранение электронных сообщений, подписываемых электронной подписью и признаваемых в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (далее - Федеральный закон N 63-ФЗ) электронными документами, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, и средств, обеспечивающих проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений в соответствии со сроками хранения документов из перечня документов, предусмотренного частью 1.1 статьи 23 Федерального закона от 22 октября 2004 года N 125-ФЗ "Об архивном деле в Российской Федерации" (далее - Федеральный закон N 125-ФЗ).
10
Клиентом обеспечено осуществление сбора, передачи оператору платформы и обновление идентификационной информации устройства пользователя платформы, на котором установлено мобильное приложение, сформированной в виде производного значения из значений параметров такого устройства, позволяющего идентифицировать устройство пользователя платформы при совершении операций с цифровыми рублями (далее - цифровой отпечаток устройства).
11
В целях осуществления передачи цифрового отпечатка устройства и обновления цифрового отпечатка устройства, хранимого на платформе цифрового рубля (далее - платформа), Клиентом обеспечено удостоверение того, что устройство используется пользователем платформы, указанным в договоре счета цифрового рубля, предусмотренном статьей 30.8 Федерального закона N 161-ФЗ.
12
Клиентом обеспечено подписание электронных сообщений Клиента электронной подписью, сертификат ключа проверки которой выдан удостоверяющим центром Банка России в соответствии со статьей 13 Федерального закона N 63-ФЗ.
13
Клиентом обеспечено подписание электронных сообщений пользователя платформы электронной подписью, сертификат ключа проверки которой выдан удостоверяющим центром Клиента, подчиненным удостоверяющему центру Банка России.
14
Клиентом обеспечено осуществление контроля срока действия ключа электронной подписи пользователя платформы и ключа проверки электронной подписи пользователя платформы.
15
Клиентом при создании и функционировании удостоверяющего центра Клиента обеспечено использование средств удостоверяющего центра не ниже класса КС3, предусмотренного пунктом 11 Требований к средствам удостоверяющего центра, утвержденных приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 года N 796 (далее - приказ ФСБ России от 27 декабря 2011 года N 796).
16
Клиентом при эксплуатации средств удостоверяющего центра обеспечено использование информации о точном значении московского времени и календарной дате, распространяемой Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 3 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ "Об исчислении времени".
17
Для подписания сертификатов ключей проверки электронных подписей пользователей платформы в удостоверяющем центре Клиента обеспечено использование ключа электронной подписи, соответствующего ключу проверки электронной подписи, указанному в сертификате, выданном удостоверяющим центром Банка России в соответствии со статьей 13 Федерального закона N 63-ФЗ.
18
При взаимодействии между Клиентом и пользователем платформы с использованием приложения Клиента Клиентом обеспечено изготовление и использование криптографических ключей пользователя платформы, включая ключи электронных подписей, ключи проверки электронных подписей и криптографические ключи, предназначенные для шифрования (расшифрования) на прикладном уровне электронных сообщений, с применением СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности).
19
Клиентом обеспечено применение программного обеспечения, распространяемого оператором платформы, для хранения криптографических ключей пользователя платформы, в иных случаях Клиент вправе применять организационно-технические меры для осуществления хранения криптографических ключей на внешних отчуждаемых носителях ключевой информации пользователя платформы в дополнение к требованиям эксплуатационной документации на используемые СКЗИ.
20
Клиентом обеспечено изготовление, хранение и использование криптографических ключей Клиента, включая ключи электронных подписей, ключи проверки электронных подписей и криптографические ключи, предназначенные для шифрования (расшифрования) на прикладном уровне электронных сообщений, с использованием объектов информационной инфраструктуры Клиента, с применением СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
21
Клиентом обеспечена возможность передачи в удостоверяющий центр Клиента запроса на выдачу сертификата ключа проверки электронной подписи пользователя платформы, инициируемого пользователем платформы, с использованием приложения Клиента.
22
Клиентом обеспечена защита электронных сообщений при передаче между Клиентом и оператором платформы посредством:
22.1
Использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи класса не ниже КС3, предусмотренного пунктом 15 Требований к средствам электронной подписи, утвержденных приказом ФСБ России N 796 (далее - требования к средствам электронной подписи), для контроля целостности и подтверждения подлинности электронных сообщений, в том числе применяемой для контроля целостности и подтверждения подлинности электронных сообщений пользователей платформы.
22.2
Шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель" (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ класса не ниже КС3, предусмотренного пунктом 12 Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности, утвержденных приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 387 (далее - Состав и содержание организационных и технических мер), прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
22.3
Обработки электронных сообщений и контроля реквизитов электронных сообщений с использованием объектов информационной инфраструктуры в соответствии с Требованиями к обеспечению защиты информации, применяемыми в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями, предусмотренными нормативным актом Банка России, устанавливающим требования к обеспечению защиты информации для участников платформы цифрового рубля.
22.4
Использования технологии виртуальных частных сетей между Клиентом и оператором платформы с использованием СКЗИ класса не ниже КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер.
23
Клиентом обеспечена защита электронных сообщений при их передаче между пользователем платформы и Клиентом посредством:
23.1
Использования усиленной неквалифицированной электронной подписи, реализуемой средствами электронной подписи класса не ниже КС3 на стороне Клиента и средствами электронной подписи класса не ниже КС1 на стороне пользователя платформы, предусмотренными пунктами 15 и 13 Требований к средствам электронной подписи соответственно, для контроля целостности и подтверждения подлинности электронных сообщений.
23.2
Шифрования (расшифрования) электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ класса не ниже КС3 на стороне Клиента и СКЗИ класса не ниже КС1 на стороне пользователя платформы, предусмотренных пунктами 12 и 10 Состава и содержания организационных и технических мер соответственно, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
23.3
Применения СКЗИ класса не ниже КС2, предусмотренного пунктом 11 Состава и содержания организационных и технических мер, на стороне Клиента и СКЗИ класса не ниже КС1, предусмотренного пунктом 10 Состава и содержания организационных и технических мер, на стороне пользователя платформы, через использование которых реализуются двухсторонняя аутентификация и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.
24
Клиентом обеспечен для объектов информационной инфраструктуры, размещенных в выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 1, 2 настоящей таблицы, уровень соответствия не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.
25
Клиентом для обеспечения безопасности технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями реализованы в своей информационной инфраструктуре два выделенных контура: контур контроля и контур обработки.
26
Клиентом реализованы в своей информационной инфраструктуре контур контроля и контур обработки с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
27
Объекты информационной инфраструктуры контура обработки и контура контроля размещены Клиентом в разных сегментах вычислительной сети.
Способ допустимого информационного взаимодействия между указанными сегментами вычислительной сети оформлен документально и согласован со службой информационной безопасности Клиента.
28
Клиентом обеспечено соблюдение следующих условий при направлении и обработке электронных сообщений:
28.1
Исходящие электронные сообщения, направляемые Клиентом на платформу, должны поступать в контур контроля только из контура обработки.
28.2
Входящие электронные сообщения, получаемые Клиентом от платформы, из контура контроля должны передаваться только в контур обработки, в том числе для последующей передачи пользователю платформы (при необходимости).
29
Клиентом в контуре обработки для исходящих электронных сообщений, направляемых Клиентом на платформу, реализованы:
29.1
Расшифрование электронного сообщения.
29.2
Проверка электронной подписи, с использованием которой подписано электронное сообщение.
29.3
Структурный контроль электронного сообщения.
29.4
Проверка правильности заполнения полей электронного сообщения.
29.5
Подписание электронного сообщения электронной подписью Клиента.
29.6
Направление электронного сообщения в контур контроля.
30
Клиентом в контуре контроля для исходящих электронных сообщений, направляемых Клиентом на платформу, реализованы:
30.1
Проверка электронной подписи, с использованием которой подписано электронное сообщение.
30.2
Структурный контроль электронного сообщения.
30.3
Проверка правильности заполнения полей электронного сообщения.
30.4
Контроль отсутствия дублирования электронного сообщения.
30.5
Подписание электронного сообщения электронной подписью Клиента.
30.6
Шифрование электронного сообщения, передаваемого на платформу.
31
Клиентом в контуре контроля для входящих электронных сообщений, получаемых Клиентом от платформы, обеспечены:
31.1
Расшифрование электронного сообщения.
31.2
Проверка электронной подписи, с использованием которой подписано электронное сообщение.
31.3
Структурный контроль электронного сообщения.
31.4
Подписание электронного сообщения электронной подписью Клиента.
31.5
Направление электронного сообщения в контур обработки.
32
Клиентом в контуре обработки для входящих электронных сообщений, получаемых Клиентом от платформы, обеспечены:
32.1
Проверка электронной подписи, с использованием которой подписано электронное сообщение.
32.2
Структурный контроль электронного сообщения.
32.3
Проверка правильности заполнения полей электронного сообщения.
32.4
Контроль отсутствия дублирования электронного сообщения.
32.5
Шифрование электронного сообщения, передаваемого пользователю платформы.
33
Клиент для обеспечения безопасности приложения Клиента:
33.1
Имеет документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение Клиента.
33.2
Применяет меры защиты информации в соответствии с пунктом 2 настоящей таблицы для объектов информационной инфраструктуры, с использованием которых обеспечиваются эксплуатация и функционирование приложения Клиента.
34
Клиентом обеспечено выполнение следующих требований к безопасности приложения Клиента:
34.1
Реализован механизм доставки пользователям платформы уведомлений об операциях с цифровыми рублями.
34.2
Реализован механизм обработки ошибок и (или) исключений, возникающих в процессе работы приложения Клиента, в рамках которого обеспечивается корректная обработка и информирование пользователей платформы об ошибках, в том числе о сбоях при подключении к приложению Клиента, недоступности приложения Клиента.
34.3
Реализован механизм проверки корректности данных, вводимых пользователем платформы в приложении Клиента.
34.4
Осуществляется регистрация событий защиты информации (в том числе событий, связанных с неуспешной аутентификацией и авторизацией, ошибками при управлении доступом и проверке входных данных) при функционировании приложения Клиента.
34.5
Реализован механизм незамедлительной блокировки и последующего досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы в случае компрометации ключа электронной подписи.
35
Клиент вправе принимать организационно-технические меры, направленные на соответствие требованиям к безопасности мобильного приложения, в том числе в части наличия возможности:
35.1
Реализации механизма информирования пользователя платформы о необходимости применения обновлений мобильного приложения, связанных с обеспечением защиты информации.
35.2
Реализации альтернативных способов обновления и (или) установки мобильного приложения в случае ограничений обновления и (или) установки мобильного приложения из основного источника.
35.3
Реализации механизма, исключающего возможность использования сторонних программных средств ввода и отключения механизма регистрации истории ввода при вводе данных пользователей платформы, в том числе аутентификационных данных пользователя платформы.
35.4
Обеспечения контроля целостности прикладного программного обеспечения и контроля среды его функционирования при запуске мобильного приложения до момента обращения пользователя платформы к его функционалу.
35.5
Реализации механизма блокировки доступа к мобильному приложению при неоднократных неуспешных попытках аутентификации.
Руководитель Комиссии
(инициалы, фамилия)
(подпись, дата)
Члены Комиссии:
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)
Приложения:
1.
Документы, подтверждающие полномочия заместителя руководителя Клиента на утверждение акта.
2.
Распорядительный документ о создании комиссии для проверки готовности выполнения требований к обеспечению защиты информации для участников платформы цифрового рубля.
3.
Документы, подтверждающие готовность выполнения требований к обеспечению защиты информации для участников платформы цифрового рубля.
--------------------------------
<1> Заместитель руководителя Клиента, на которого в соответствии с Указом Президента Российской Федерации от 1 мая 2022 года N 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации" возложены полномочия по обеспечению информационной безопасности.
<2> Комиссия назначается распорядительным документом кредитной организации, подписанным заместителем руководителя Клиента.