Положение 802-П
«О требованиях к защите информации в платежной системе Банка России»
Действующая редакция
с 25 июля 2022
Описание Положения 802-П
Объекты:
- Прямые участники платежной системы Банка России, являющиеся участниками обмена по Положению № 732-П и кредитными организациями (их филиалами);
- Международные финансовые организации, являющиеся участниками обмена в платежной системе Банка России;
- Операционные центры, платежные клиринговые центры других платежных систем при предоставлении операционных услуг и услуг платежного клиринга с использованием сервиса быстрых платежей (ОПКЦ СБП);
- Оператор услуг информационного обмена при предоставлении услуг информационного обмена участникам обмена с использованием сервиса быстрых платежей (ОУИО СБП);
- Участники обмена при переводах с использованием сервиса срочного и несрочного перевода (ССНП), участники СБП также обязаны соблюдать требования в отдельных сегментах сетей и документах.
Самое главное:
Положение Банка России № 802-П устанавливает требования к защите информации в платежной системе Банка России (ПС БР) и сервисе быстрых платежей (СБП), фокусируясь на обеспечении конфиденциальности, целостности и доступности электронных сообщений и данных при их подготовке, передаче, обработке и хранении. Самое главное – создание изолированного сетевого сегмента для инфраструктуры ПС БР/СБП с жестким контролем взаимодействий, обязательное использование сертифицированных СКЗИ для криптозащиты, формализация системы управления рисками, инцидентами и непрерывностью через внутренние документы, роли и аудиты, а также реализация уровней защиты по ГОСТ Р 57580.1 с учетом модели угроз переводов.
Используемые термины:
Объекты информационной инфраструктуры – автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, применяемые для формирования (подготовки), обработки, передачи и хранения защищаемой информации.
Информационные сообщения – сообщения, содержащие реквизиты и иную информацию, необходимую для последующего формирования электронного сообщения, содержащего распоряжение в электронном виде.
Электронные сообщения – сообщения, содержащие распоряжения о переводе денежных средств в электронном виде.
Осуществление перевода денежных средств – перевод денежных средств в платежной системе Банка России.
Информация, которую необходимо защищать
Главной защищаемой информацией являются электронные сообщения, содержащие распоряжения о переводе денежных средств, на всех этапах их жизненного цикла (формирование, обработка, передача, хранение). Это включает как собственно сообщения в контуре ПС БР/СБП, так и их обработку в выделенном сегменте:
- Реквизиты переводов и счета клиентов (данные плательщика, получателя, реквизиты операций);
- Аутентификационные и идентификационные данные клиентов и их средств доступа (то, что позволяет инициировать или подтвердить операцию);
- Данные, позволяющие осуществить перевод без участия клиента (технические и платежные реквизиты, шаблоны, токены и т.п.);
- Индикаторы уровня риска операций и любые служебные поля, используемые для выявления операций без согласия клиента;
- Информационные сообщения и данные сверки (соответствие исходящих сообщений участника входящим сообщениям клиента и ответам ОПКЦ);
- Данные журналов и логов, по которым можно восстановить содержание операций, параметры клиента или его средства аутентификации.
Требования для участников ССНП
Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.1-2017.
Формирование и подписание электронных сообщений участника ССНП и ОПКЦ СБП осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ СБП.
Передача и прием электронных сообщений участника ССНП осуществляются с использованием автоматизированного рабочего места обмена электронными сообщениями с платежной системой Банка России. Автоматизированное рабочее место обмена электронными сообщениями с платежной системой Банка России должно быть реализовано с использованием программного обеспечения Банка России.
Криптографические ключи участника ССНП, используемые при обмене электронными сообщениями между Банком России и участником ССНП, должны изготавливаться участником ССНП.
Участники ССНП должны обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:
- формирования электронных сообщений и контроля реквизитов электронных сообщений с использованием объектов информационной инфраструктуры участника ССНП в соответствии с пунктом 1 приложения к 802-П, в котором установлены Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ СБП в соответствии с частью пятой статьи 5 Федерального закона от 2 декабря 1990 года № 395-1 «О банках и банковской деятельности»;
- использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре формирования электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, для контроля целостности и подтверждения подлинности электронных сообщений;
- применения третьего варианта защиты, указанного в Альбоме электронных сообщений, ведение которого осуществляется Банком России в соответствии с абзацами вторым, третьим и подпунктом 5.2.1 пункта 5.2 Положения Банка России № 732-П;
- шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
- применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
В случае выявления инцидента, связанного с несоблюдением требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия участника ССНП, участник ССНП вправе направить в Банк России обращение о приостановлении обмена электронными сообщениями. В целях направления обращений участник ССНП должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений, и направление в Банк России информации об уполномоченных лицах, с указанием, в том числе, фамилий, имен, отчеств (последних - при наличии), наименований должностей, номеров телефонов, при наличии - номеров факсимильного аппарата, адресов электронной почты. Одновременно с направлением обращений участник ССНП должен направить копию обращения о приостановлении обмена электронными сообщениями или об отмене приостановления обмена электронными сообщениями, подписанного уполномоченным лицом и заверенного печатью участника ССНП, по факсимильной связи либо по электронной почте в соответствии с контактными данными, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет». Не позднее одного рабочего дня после дня направления в соответствии с абзацем первым настоящего подпункта копии обращения участник ССНП должен направить оригинал обращения на бумажном носителе по адресу, указанному на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».
Требования для участников СБП
Участники обмена, международные финансовые организации при осуществлении переводов денежных средств с использованием сервиса быстрых платежей должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1 -2017.
Криптографические ключи участника СБП, используемые при обмене электронными сообщениями между ОПКЦ СБП и участником СБП, должны изготавливаться участником СБП.
Значение показателя, характеризующего уровень переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, формируемого на ежеквартальной основе, в результате применения участниками СБП мер защиты информации не должно превышать 0,005 процента.
Участник СБП – банк плательщика должен осуществлять:
- выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России в соответствии с частью 5 1 статьи 8 Федерального закона от 27 июня 2011 года № 161-ФЗ , в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;
- приостановление в соответствии с частью 5 1 статьи 8 Федерального закона от 27 июня 2011 года № 161-ФЗ исполнения распоряжения в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, с учетом информации об уровне риска операции без согласия клиента, включенной в электронное сообщение, полученной от ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, содержащей в том числе информацию об индикаторе уровня риска операции, сформированном участником СБП - банком получателя;
- формирование индикатора уровня риска операции на основе оценки рисков операций в рамках реализуемой участником СБП - банком плательщика системы управления рисками и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП, в случае невыявления признаков осуществления перевода денежных средств без согласия клиента;
- при выявлении информации о компьютерных атаках, проводимых с использованием идентификаторов клиентов участника СБП, направленных на получение информации о клиентах участника СБП или клиентах косвенного участника, имеющего доступ к трансграничному переводу денежных средств с использованием СБП в соответствии с абзацем восьмым пункта 3.3 Положения Банка России № 732-П, из формирующихся распоряжений клиента участника СБП о переводе денежных средств (далее - переборы идентификаторов), при осуществлении переводов денежных средств с использованием сервиса быстрых платежей осуществляет блокировку идентификатора клиента участника СБП, используемого для осуществления переборов идентификаторов, и незамедлительно уведомляет Банк России и ОПКЦ СБП о его блокировке.
Участник СБП – банк получателя должен осуществлять формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении в ОПКЦ СБП в формате и порядке, установленных договором об оказании услуг между участником СБП и ОПКЦ СБП.
Участник СБП самостоятельно принимает решение о разблокировке идентификатора клиента участника СБП по результатам проведенной проверки и доводит принятое им решение до ОПКЦ СБП в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП.
При получении участником СБП – банком плательщика уведомления о блокировке идентификатора от ОПКЦ СБП, участник СБП обязан осуществлять проверку полученной информации в соответствии с договором между клиентом участника СБП и участником.
Участник СБП направляет уведомление о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП косвенному участнику с доступом к ТПСБП и доводит до ОПКЦ СБП информацию о результатах проведенной проверки косвенным участником с доступом к ТПСБП в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП.
Требования для ОПКЦ СБП
ОПКЦ СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОПКЦ СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация усиленного уровня (уровня 1) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
Формирование и подписание электронных сообщений участника ССНП и ОПКЦ СБП осуществляются в информационной инфраструктуре (автоматизированной системе) участника ССНП и ОПКЦ СБП.
Криптографические ключи ОПКЦ СБП, используемые при обмене электронными сообщениями между Банком России и ОПКЦ СБП, должны изготавливаться ОПКЦ СБП.
ОПКЦ СБП должен обеспечивать защиту электронных сообщений при их передаче в Банк России посредством:
- обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре ОПКЦ СБП в соответствии с пунктом 2 приложения к 802-П;
- использования двух усиленных электронных подписей - электронной подписи, применяемой в контуре обработки электронных сообщений, и электронной подписи, применяемой в контуре контроля реквизитов электронных сообщений, для контроля целостности и подтверждения подлинности электронных сообщений;
- шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
- применения средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.
ОПКЦ СБП должен осуществлять:
- выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основании моделей оценки риска операций по переводу денежных средств (далее - модели оценки риска операций Банка России), установленных в соответствии с договором о взаимодействии, заключаемым между Банком России и оператором внешней платежной системы в соответствии с частью 37 статьи 15 Федерального закона от 27 июня 2011 года № 161-ФЗ , индикаторов уровня риска операции при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, полученных от участников СБП;
- приостановление процедуры приема к исполнению, в том числе последующих процедур приема к исполнению и исполнения распоряжений в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП;
- незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП;
- уведомление Банка России о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором о взаимодействии между Банком России и ОПКЦ СБП;
- формирование индикатора уровня риска операции на основе моделей оценки риска операций Банка России и направление участнику СБП - банку плательщика сформированных ОПКЦ СБП и участником СБП - банком получателя индикаторов уровня риска операций в электронном сообщении в случае невыявления признаков осуществления перевода денежных средств без согласия клиента.
ОПКЦ СБП осуществляет выявление переборов идентификаторов клиентов участника СБП, клиентов косвенного участника с доступом к трансграничному переводу денежных средств с использованием СБП (ТПСБП), блокировку идентификатора клиента участника СБП, клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов, при каждом выявлении перебора идентификаторов, в том числе при отсутствии уведомления участника СБП или косвенного участника с доступом к ТПСБП о блокировке, на срок, установленный договором об оказании услуг между участником СБП и ОПКЦ СБП, и направляет уведомления участнику СБП и Банку России о блокировке идентификатора.
ОПКЦ СБП осуществляет разблокировку идентификатора клиента участника СБП, клиента косвенного участника с доступом к ТПСБП в соответствии с договором об оказании услуг между участником СБП и ОПКЦ СБП.
Требования для ОУИО СБП
ОУИО СБП должен размещать объекты информационной инфраструктуры, используемые при предоставлении услуг информационного обмена участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей. Для объектов информационной инфраструктуры в пределах выделенного (отдельного) сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, посредством выполнения которых обеспечивается реализация стандартного уровня (уровня 2) защиты информации, предусмотренного пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017.
ОУИО СБП обязан информировать участника СБП о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе о тех, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств, в соответствии с договором между участником СБП и ОУИО СБП, предусмотренным пунктом 33 статьи 3 Федерального закона от 27 июня 2011 года № 161-ФЗ.
Общие требования для участников ССНП, участников СБП, ОПКЦ СБП и ОУИО СБП
Документационное обеспечение
Во внутренних документах необходимо определить состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.
Необходимо разработать и утвердить внутренние документы, регламентирующие выполнение следующих процессов (направлений) защиты информации в рамках процессов (направлений) защиты информации, предусмотренных подпунктом 7.1.1 пункта 7.1 раздела 7 ГОСТ Р 57580.1-2017:
- обеспечение защиты информации при управлении доступом;
- обеспечение защиты вычислительных сетей;
- контроль целостности и защищенности информационной инфраструктуры;
- защита от вредоносного кода;
- предотвращение утечек информации;
- управление инцидентами защиты информации;
- защита среды виртуализации;
- защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.
Во внутренних документах должны быть определены:
- технологии подготовки, обработки, передачи и хранения электронных сообщений, содержащих распоряжения о переводе денежных средств в электронном виде, и защищаемой информации на объектах информационной инфраструктуры;
- состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств криптографической защиты информации и управления ключевой информацией СКЗИ;
- план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;
- сведения о лице или лицах, допущенных к работе со СКЗИ;
- сведения о лице или лицах, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственных пользователей СКЗИ);
- сведения о лице или лицах, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.
При этом участники СБП, ОПКЦ СБП и ОУИО СБП дополнительно должны определить в документах состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений (при их наличии), при осуществлении перевода денежных средств с использованием сервиса быстрых платежей на этапах формирования (подготовки), обработки, передачи и хранения электронных сообщений и информационных сообщений (при их наличии).
Участники СБП, ОПКЦ СБП и ОУИО СБП должны применять технологические меры защиты информации, используемые для контроля целостности и подтверждения подлинности электронных сообщений и информационных сообщений на этапах их формирования (подготовки), обработки, передачи и хранения (при их наличии).
Обеспечение защиты информации с использованием СКЗИ
Защита информации участниками ССНП, участниками СБП, ОПКЦ СБП и ОУИО СБП с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005) и технической документацией на СКЗИ.
Участники ССНП, участники СБП, ОПКЦ СБП и ОУИО СБП должны хранить входящие и исходящие электронные сообщения, подписанные электронной подписью, и средства, обеспечивающие проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений.
При обмене электронными сообщениями между Банком России и ОПКЦ СБП, Банком России и участниками ССНП должна применяться электронная подпись, сертификаты ключа проверки которой выданы Банком России участникам ССНП и ОПКЦ СБП, в соответствии с частью 2 статьи 6 Федерального закона от 6 апреля 2011 года N 63-ФЗ «Об электронной подписи».
При обмене электронными сообщениями между ОПКЦ СБП и участниками СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ СБП участникам СБП.
При обмене электронными сообщениями между ОПКЦ СБП, участниками СБП и ОУИО СБП должна применяться электронная подпись, сертификат ключа проверки которой выдан ОПКЦ СБП участнику СБП, в том числе при обмене электронными сообщениями между ОПКЦ СБП и ОУИО СБП, оказывающим участнику СБП услуги по обеспечению подписания исходящих электронных сообщений и (или) зашифрования на прикладном уровне электронных сообщений, проверки электронной подписи во входящих электронных сообщениях и (или) расшифрования на прикладном уровне входящих электронных сообщений.
Хранение и использование криптографических ключей участника СБП, предназначенных для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, должны осуществляться в аппаратных модулях безопасности информационной инфраструктуры ОУИО СБП, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности при осуществлении регулирования в соответствии с пунктом «ш» части первой статьи 13 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности». Доступ к криптографическим ключам участника СБП должен быть обеспечен только для участника СБП как владельца сертификата ключа проверки электронной подписи.
При обмене электронными сообщениями между ОПКЦ СБП и ОУИО СБП криптографические ключи участника СБП, предназначенные для подписания исходящих электронных сообщений и (или) расшифрования на прикладном уровне входящих электронных сообщений, хранение и использование которых осуществляются в информационной инфраструктуре ОУИО СБП, изготавливаются участником СБП в аппаратных модулях безопасности самостоятельно. Для получения сертификата ключа проверки электронной подписи участник СБП обращается в ОПКЦ СБП самостоятельно.
Организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении переводов денежных средств, применяются с соблюдением следующих требований:
1. Участники СБП должны удостоверять электронной подписью электронные сообщения при их передаче клиентами участника СБП.
2. Участники СБП и ОПКЦ СБП должны обеспечивать защиту электронных сообщений при передаче между участниками СБП и ОПКЦ СБП посредством:
- использования усиленной электронной подписи для контроля целостности и подтверждения подлинности электронных сообщений;
- шифрования электронных сообщений на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем;
- применения средств защиты информации, посредством использования которых реализуется двухсторонняя аутентификация и шифрование информации на уровне представления или ниже, в соответствии с эталонной моделью взаимосвязи открытых систем.
3. Участники СБП, ОПКЦ СБП и ОУИО СБП должны обеспечивать защиту электронных сообщений при их передаче между ОПКЦ СБП, участниками СБП и ОУИО СБП в соответствии с требованиями, установленными абзацами вторым - четвертым подпункта 14.2 802-П.
4. Участники СБП должны реализовать технологии подготовки, обработки и передачи электронных сообщений и защищаемой информации, обеспечивающие проверку соответствия (сверку) реквизитов исходящих в адрес ОПКЦ СБП электронных сообщений с реквизитами соответствующих им входящих электронных сообщений клиентов участников СБП и реквизитами электронных сообщений, на основе которых участником СБП осуществляются операции по списанию денежных средств со счетов клиентов.
Для целей анализа обеспечения в платежной системе Банка России защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП и ОПКЦ СБП должны направлять информацию в соответствии с требованиями, установленными:
Указанием Банка России от 12 января 2022 года № 6060-У;
Указанием Банка России от 8 октября 2018 года № 4926-У.
Требования к оценке соответствия:
Для оценки участниками ССНП, участниками СБП, ОПКЦ СБП и ОУИО СБП выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств 802-П устанавливаются следующие требования:
- оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3-6 802-П;
- оценка соответствия должна проводиться в соответствии с положениями раздела 6 национального стандарта Российской Федерации ГОСТ Р 57580.2-2018;
- оценка соответствия должна проводиться не реже одного раза в два года.
Приложение к 802-П
Правила материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре участника обмена при осуществлении переводов денежных средств в платежной системе Банка России с использованием сервиса срочного перевода и сервиса несрочного перевода, а также правила материально-технического обеспечения обработки электронных сообщений и контроля реквизитов электронных сообщений в информационной инфраструктуре операционного центра, платежного клирингового центра другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе денежных средств с использованием сервиса быстрых платежей
Приложение к 802-П детализирует организацию контуров для участников ССНП и ОПКЦ СБП:
- Размещение объектов инфраструктуры контура формирования сообщений и контура контроля реквизитов в разных сегментах сетей (включая виртуализацию) с документально оформленным и согласованным с ИБ взаимодействием между сегментами;
- В контуре формирования: генерация исходящих сообщений на основе первичных документов или входящих, контроль реквизитов, подпись электронной подписью контура формирования при положительном контроле, передача в контур контроля;
- Обязательное использование двух усиленных электронных подписей (для формирования и контроля), а также третьего варианта защиты из Альбома электронных сообщений.
Процессы и меры защиты
- Формирование, подписание и передача сообщений через автоматизированное рабочее место обмена с ПО Банка России;
- Внутренние документы по ГОСТ Р 57580.1: планы непрерывности/восстановления, сведения о допущенных к СКЗИ и ответственных пользователях СКЗИ;
- Назначение уполномоченных лиц для обращений в Банк России с передачей их данных (ФИО, должности, контакты).
Некоторые возможные риски несоблюдения требований 802-П
1. Регуляторные и финансовые риски:
- Предписания от Банка России, приостановка участия в ПС БР/СБП или исключение из системы за систематические нарушения сегментации, СКЗИ или управления рисками;
- Штрафы по 161-ФЗ и КоАП РФ за несоблюдение мер по выявлению мошенничества в СБП, включая отсутствие индикаторов риска или приостановки операций.
2. Операционные и репутационные риски:
- Увеличение числа успешных мошеннических переводов из-за слабой криптозащиты сообщений или неизолированного сегмента, с ущербом клиентам и банкам;
- Масштабные инциденты ИБ (атаки на контур СБП), приводящие к простою, утечкам данных по 719-П и потере доверия; обязательное раскрытие в отчетах ЦБ.
