Положение 683-П
«Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»
Последние изменения
с 6 декабря 2023
Действующая редакция
с 6 декабря 2023
Описание положения 683-П
Настоящее положение разработано на основании статьи 57.4 Федерального закона от 10.07.2002 N 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
Кого касается
Кредитные организации.
Самое главное
Установлены требования к обеспечению защиты информации при осуществлении банковской деятельности. Целью положения 683-п является усиление безопасности переводов денежных средств, чтобы не допускать переводов без согласия клиентов.
Используемые термины
Кредитная организация — юридическое лицо, которое для извлечения прибыли как основной цели своей деятельности на основании специального разрешения (лицензии) Центрального банка Российской Федерации (Банка России) имеет право осуществлять банковские операции. Кредитная организация образуется на основе любой формы собственности как хозяйственное общество.
Краткое изложение
Положение N 683-П ЦБ РФ от 17.04.2019 устанавливает обязательные требования по защите информации в целях противодействия осуществлению переводов денежных средств без согласия клиента для банков.
Эти требования применяются для защиты информации, которая обрабатывается и хранится в автоматизированных системах, используемых для банковских операций, связанных с переводами денежных средств. К такой информации относятся:
-
электронные сообщения;
-
информация, необходимой для авторизации клиентов для совершения банковских операций;
-
информация об осуществленных банковских операциях;
-
криптографические ключи.
В случае если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».
Кредитные организации должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления банковских операций, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер».
Требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с переводами денежных средств:
1. Кредитные организации должны обеспечить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
2. Должно использоваться сертифицированное прикладное программное обеспечение (ПО) или ПО, в отношении которого проведена оценка уязвимостей к оценочному уровню доверия (ОУД) не ниже, чем ОУД 4, это требование распространяется на:
-
программное обеспечение, распространяемое клиентам для осуществления банковских операций;
-
программное обеспечение, обрабатывающее защищаемую информации при приеме электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети Интернет.
Сертификация — в системе сертификации ФСТЭК России.
3. Кредитные организации должны обеспечить целостность электронных сообщений и подтвердить их составление уполномоченным на это лицом.
В целях обеспечения целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом кредитные организации должны обеспечивать возможность использования усиленной квалифицированной электронной подписи, усиленной неквалифицированной электронной подписи или СКЗИ, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения.
4. Требования к средствам криптографической защиты информации (СКЗИ):
-
эксплуатация СКЗИ в соответствии с технической документацией;
-
применение СКЗИ, сертифицированных ФСБ России.
6. Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации. По каждому инциденту регистрируются следующие данные:
-
защищаемая информация, обрабатываемая на технологическом участке, на котором произошел несанкционированный доступ к защищаемой информации;
-
результат реагирования на инцидент защиты информации, в том числе действий по возврату денежных средств или электронных денежных средств.
Кредитные организации должны осуществлять информирование Банка России, в том числе на основании запросов Банка России:
-
о выявленных инцидентах защиты информации, включенных в перечень типов инцидентов,
-
о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети Интернет, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия;
Основной способ информирования
Автоматизированная система обработки инцидентов (АСОИ ФинЦЕРТ) — основной канал передачи информации об инцидентах в Банк России. Резервные способы передачи информации используются только в случаях отсутствия телекоммуникационной доступности личного кабинета участника информационного обмена и (или) отсутствия технической возможности передачи информации.
К резервным способам передачи информации относятся:
-
Электронная почта ФинЦЕРТ (fincert@cbr.ru);
-
Телефон дежурной службы ФинЦЕРТ +7 (495) 772-70-90.
7. Оценка соответствия защиты информации должна осуществляться в соответствии с ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия»:
-
с привлечением лицензиатов ФСТЭК России;
-
не реже одного раза в два года;
-
хранение отчета по результатам оценки — не менее 5 лет.
9. При обеспечении безопасности автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитными организациями, являющимися объектами критической информационной инфраструктуры Российской Федерации, настоящее Положение применяется наряду с требованиями ФЗ от 26.07.2017 N 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».