Положение 833-П

Положение 833-П

«О требованиях к обеспечению защиты информации для участников платформы цифрового рубля»

Описание Положения 833-П

Объекты:

Участники платформы цифрового рубля – кредитные организации.

Самое главное:

Положение 833-П является одним из НПА правил платформы цифрового рубля и устанавливает требования к обеспечению защиты информации для участников платформы цифрового рубля, а также требования к автоматизированным системам, программному обеспечению, средствам вычислительной техники, телекоммуникационному оборудованию, эксплуатация которых осуществляется участниками платформы и которые используются при формировании (подготовке), обработке, передаче и хранении защищаемой информации.

Используемые термины:

Платформа цифрового рубля - информационная система, посредством которой в соответствии с правилами платформы цифрового рубля взаимодействуют оператор платформы цифрового рубля, участники платформы цифрового рубля и пользователи платформы цифрового рубля в целях совершения операций с цифровыми рублями;

Правила платформы цифрового рубля - нормативные акты Банка России, устанавливающие условия доступа к платформе цифрового рубля и содержащие иные положения, предусмотренные настоящим Федеральным законом;

Пользователь платформы цифрового рубля - физическое лицо, юридическое лицо или индивидуальный предприниматель, имеющие доступ к платформе цифрового рубля в целях совершения операций с цифровыми рублями;

Участник платформы цифрового рубля - оператор по переводу денежных средств (за исключением Банка России) или иностранный банк, предоставляющие пользователям платформы цифрового рубля доступ к платформе цифрового рубля в целях совершения операций с цифровыми рублями.

Информация, которую необходимо защищать:

Необходимо обеспечить защиту информации, обрабатываемую в автоматизированных системах, программном обеспечении, средствах вычислительной техники, телекоммуникационное оборудовании, эксплуатация которых осуществляется участниками платформы и которые используются при ее формировании (подготовке), обработке, передаче и хранении:

  • содержащаяся в документах, составленных при осуществлении операций с цифровыми рублями, формируемых участниками платформы, пользователями платформы цифрового рубля и оператором платформы цифрового рубля;
  • необходимая для идентификации, аутентификации и авторизации пользователей платформы цифрового рубля при совершении действий в целях осуществления операций с цифровыми рублями;
  • о предоставлении, приостановлении, возобновлении или прекращении доступа к платформе цифрового рубля, о счете цифрового рубля, об остатке цифровых рублей на счете цифрового рубля, а также о совершенных операциях с цифровыми рублями;
  • об исполненных и планируемых к исполнению сделках, содержащих условия, предусмотренные частью второй статьи 309 Гражданского кодекса Российской Федерации;
  • ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых для обеспечения криптографической защиты операций с цифровыми рублями (далее - криптографические ключи);
  • о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации.

Определение уровня защиты для участников платформы цифрового рубля:

Субъект Уровень защиты информации Уровень соответствия Частота оценки соответствия
Кредитные организации, которые определены как системно значимые и (или) значимые на рынке платежных услуг. Усиленный Не ниже четвертого Не реже одного раза в два года с привлечением сторонних организаций, имеющих лицензию на ТЗКИ
Кредитные организации, которые не определены как системно значимые и (или) значимые на рынке платежных услуг. Стандартный

Необходимые изменения во внутренние нормативные документы участников платформы цифрового рубля:

№ п/п Что необходимо определить в ВНД
1 Состав организационных мер защиты информации и порядок их применения, а также состав технических средств защиты информации и порядок их использования
2 Порядок подготовки, обработки, передачи и хранения сообщений в электронном виде, связанных с осуществлением операций с цифровыми рублями (далее - электронные сообщения), и защищаемой информации, предусмотренной пунктом 2 настоящего Положения, с использованием объектов информационной инфраструктуры;
3 Список лиц (за исключением пользователей платформы цифрового рубля), допущенных к работе с СКЗИ, с определением прав использования криптографических ключей;
4 Список лиц (за исключением пользователей платформы цифрового рубля), ответственных за обеспечение функционирования и безопасности СКЗИ (ответственные пользователи СКЗИ);
5 Список лиц (за исключением пользователей платформы цифрового рубля), обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей;
6 Состав технологических мер защиты информации, используемых для контроля целостности, подтверждения подлинности и обеспечения конфиденциальности электронных сообщений на этапах их подготовки, обработки, передачи и хранения, и правила их применения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ.
7 Перечень и реквизиты распоряжений для совершения операций с цифровыми рублями, а также перечень, форматы, порядок формирования, описание структуры, реквизитов и мер защиты электронных сообщений, используемых для взаимодействия оператора платформы цифрового рубля, участников платформы цифрового рубля и пользователей платформы цифрового рубля при совершении операций с цифровыми рублями.
Альбом распоряжений платформы цифрового рубля размещается на сайте Банка России.

Требования к защите электронных сообщений при их передаче между участником платформы и пользователем платформы цифрового рубля с применением электронной подписи:

Участник платформы должен подписывать электронные сообщения участника платформы электронной подписью, сертификат ключа проверки которой выдан удостоверяющим центром Банка России в соответствии со статьей 13 Федерального закона N 63-ФЗ.

Участник платформы должен обеспечивать подписание электронных сообщений пользователя платформы цифрового рубля электронной подписью, сертификат ключа проверки которой выдан удостоверяющим центром участника платформы, подчиненным удостоверяющему центру Банка России.

Участник платформы должен осуществлять контроль срока действия ключа электронной подписи пользователя платформы цифрового рубля и ключа проверки электронной подписи пользователя платформы цифрового рубля.

Участник платформы при создании и функционировании удостоверяющего центра участника платформы должен использовать средства удостоверяющего центра не ниже класса КСЗ, предусмотренного пунктом 11 Требований к средствам удостоверяющего центра, утвержденных приказом Федеральной службы безопасности Российской Федерации от 27 декабря 2011 года N 796 3 (далее - приказ ФСБ России N 796).

Участник платформы при эксплуатации средств удостоверяющего центра должен использовать информацию о точном значении московского времени и календарной дате, распространяемую Государственной службой времени, частоты и определения параметров вращения Земли в соответствии с частью 3 статьи 6 Федерального закона от 3 июня 2011 года N 107-ФЗ "Об исчислении времени".

Для подписания сертификатов ключей проверки электронных подписей пользователей платформы цифрового рубля в удостоверяющем центре участника платформы участник платформы должен использовать ключ электронной подписи, соответствующий ключу проверки электронной подписи, указанному в сертификате, выданном удостоверяющим центром Банка России в соответствии со статьей 13 Федерального закона N 63-ФЗ.

При взаимодействии между участником платформы и пользователем платформы цифрового рубля с использованием приложения клиента участник платформы должен обеспечивать изготовление и использование криптографических ключей пользователя платформы цифрового рубля, включая ключи электронных подписей, ключи проверки электронных подписей и криптографические ключи, предназначенные для шифрования (расшифрования) на прикладном уровне электронных сообщений, с применением СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, при осуществлении регулирования в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности" (далее - требования, установленные федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности).

Участник платформы должен обеспечивать применение программного обеспечения, распространяемого оператором платформы цифрового рубля, для хранения криптографических ключей пользователя платформы цифрового рубля, в иных случаях участник платформы вправе применять организационно-технические меры для осуществления хранения криптографических ключей на внешних отчуждаемых носителях ключевой информации пользователя платформы цифрового рубля в дополнение к требованиям эксплуатационной документации на используемые СКЗИ.

Участник платформы должен осуществлять изготовление, хранение и использование криптографических ключей участника платформы, включая ключи электронных подписей, ключи проверки электронных подписей и криптографические ключи, предназначенные для шифрования (расшифрования) на прикладном уровне электронных сообщений, с использованием объектов информационной инфраструктуры участника платформы, с применением СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.

Участник платформы должен обеспечивать возможность передачи в удостоверяющий центр участника платформы запроса на выдачу сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля, инициируемого пользователем платформы цифрового рубля, с использованием приложения клиента.

В случае досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля в соответствии со статьей 13 Федерального закона N 63-ФЗ участник платформы должен незамедлительно представить на платформу цифрового рубля информацию о таком досрочном прекращении действия или аннулировании сертификата ключа проверки электронной подписи.


Требования к обеспечению защиты информации, применяемые в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями, а также требования к обеспечению защиты информации, применяемые в отношении приложения клиента:

Требования
Требования к обеспечению защиты информации, применяемые в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями
1 Участник платформы для обеспечения безопасности технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями должен реализовать в своей информационной инфраструктуре два выделенных контура: контур контроля и контур обработки.
2 Участник платформы должен реализовать в своей информационной инфраструктуре контур контроля и контур обработки с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
3 Участник платформы должен разместить объекты информационной инфраструктуры контура обработки и контура контроля в разных сегментах вычислительной сети. Способ допустимого информационного взаимодействия между указанными сегментами вычислительной сети оформляется документально и согласовывается со службой информационной безопасности участника платформы.
4 Участник платформы при направлении и обработке электронных сообщений должен соблюдать следующие условия:
4.1 Исходящие электронные сообщения, направляемые участником платформы на платформу цифрового рубля, должны поступать в контур контроля только из контура обработки.
4.2 Входящие электронные сообщения, получаемые участником платформы от платформы цифрового рубля, из контура контроля должны передаваться только в контур обработки, в том числе для последующей передачи пользователю платформы цифрового рубля (при необходимости).
5 Участник платформы в контуре обработки для исходящих электронных сообщений, направляемых участником платформы на платформу цифрового рубля, должен реализовать:
  • расшифрование электронного сообщения;
  • проверку электронной подписи, с использованием которой подписано электронное сообщение;
  • структурный контроль электронного сообщения;
  • проверку правильности заполнения полей электронного сообщения;
  • подписание электронного сообщения электронной подписью участника платформы;
  • направление электронного сообщения в контур контроля.
6 Участник платформы в контуре контроля для исходящих электронных сообщений, направляемых участником платформы на платформу цифрового рубля, должен реализовать:
  • проверку электронной подписи, с использованием которой подписано электронное сообщение;
  • структурный контроль электронного сообщения;
  • проверку правильности заполнения полей электронного сообщения;
  • контроль отсутствия дублирования электронного сообщения;
  • подписание электронного сообщения электронной подписью участника платформы;
  • шифрование электронного сообщения, передаваемого на платформу цифрового рубля.
7 Участник платформы в контуре контроля для входящих электронных сообщений, получаемых участником платформы от платформы цифрового рубля, должен осуществлять:
  • расшифрование электронного сообщения;
  • проверку электронной подписи, с использованием которой подписано электронное сообщение;
  • структурный контроль электронного сообщения;
  • подписание электронного сообщения электронной подписью участника платформы;
  • направление электронного сообщения в контур обработки.
8 Участник платформы в контуре обработки для входящих электронных сообщений, получаемых участником платформы от платформы цифрового рубля, должен осуществлять:
  • проверку электронной подписи, с использованием которой подписано электронное сообщение;
  • структурный контроль электронного сообщения;
  • проверку правильности заполнения полей электронного сообщения;
  • контроль отсутствия дублирования электронного сообщения;
  • шифрование электронного сообщения, передаваемого пользователю платформы цифрового рубля.
Требования к обеспечению защиты информации, применяемые в отношении приложения клиента
1 Участник платформы для обеспечения безопасности приложения клиента должен выполнять следующие требования к процессу разработки, тестирования и эксплуатации приложения клиента:
  • иметь документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение клиента;
  • применять меры защиты информации в соответствии с подпунктами 4.1 и 4.2 пункта 4 833-П для объектов информационной инфраструктуры, с использованием которых обеспечиваются эксплуатация и функционирование приложения клиента.
2 Участник платформы должен выполнять следующие требования к безопасности приложения клиента:
  • реализовать механизм доставки пользователю платформы цифрового рубля уведомлений об операциях с цифровыми рублями;
  • реализовать механизм обработки ошибок и (или) исключений, возникающих в процессе работы приложения клиента, в рамках которого обеспечиваются корректная обработка и информирование пользователя платформы цифрового рубля об ошибках, в том числе о сбоях при подключении к приложению клиента, недоступности приложения клиента;
  • реализовать механизм проверки корректности данных, вводимых пользователем платформы цифрового рубля в приложении клиента;
  • регистрировать события защиты информации (в том числе события, связанные с неуспешной аутентификацией и авторизацией, ошибками при управлении доступом и проверке входных данных) при функционировании приложения клиента;
  • реализовать механизм незамедлительной блокировки и последующего досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля в случае компрометации ключа электронной подписи;
  • досрочно прекратить действие сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля - юридического лица и сменить аутентификационные данные для доступа пользователя платформы цифрового рубля - юридического лица к приложению клиента при обращении пользователя платформы цифрового рубля - юридического лица к участнику платформы.
3 Участник платформы вправе принимать организационно-технические меры, направленные на соответствие требованиям к безопасности мобильного приложения, в том числе в части наличия возможности:
  • реализации механизма информирования пользователя платформы цифрового рубля о необходимости применения обновлений мобильного приложения, связанных с обеспечением защиты информации;
  • реализации альтернативных способов обновления и (или) установки мобильного приложения в случае наличия ограничений обновления и (или) установки мобильного приложения из основного источника;
  • реализации механизма, исключающего возможность использования сторонних программных средств ввода и отключения механизма регистрации истории ввода при вводе данных пользователя платформы цифрового рубля, в том числе аутентификационных данных пользователя платформы цифрового рубля;
  • обеспечения контроля целостности прикладного программного обеспечения и контроля среды его функционирования при запуске мобильного приложения до момента обращения пользователя платформы цифрового рубля к его функционалу;
  • реализации механизма блокировки доступа к мобильному приложению при неоднократных неуспешных попытках аутентификации.

Некоторые возможные риски несоблюдения требований 833-П

1. Отключение от платформы цифрового рубля

Основание: Нарушение требований защиты информации участником платформы цифрового рубля.

Риски: Отключение участника платформы цифрового рубля по решению Банка России от инфраструктуры платформы цифрового рубля. Это означает потерю возможности предоставлять клиентам услуги по работе с цифровым рублем, что в будущем, по мере распространения цифрового рубля, приведет к потере конкурентоспособности, оттоку клиентов.

2. Прямая финансовая ответственность за безвозвратную утерю цифровых рублей клиентов

Основание: В силу специфики цифровых валют и технологии, компрометация закрытых ключей или уязвимость в системе участника может привести к необратимой утере токенов без возможности восстановления или отслеживания.

Риски: Участник, не обеспечивший должный уровень защиты, будет нести полную материальную ответственность перед клиентами за утраченные цифровые рубли. Возмещение ущерба может потребовать существенных собственных средств, учитывая потенциально крупные суммы хранения цифровых рублей на счетах клиентов.

3. Репутационный ущерб, связанный с потерей доверия к новой технологии на государственном уровне

Основание: Участник, допустивший инцидент, подрывает доверие не только к себе, но и к самой системе цифрового рубля как к безопасной и надежной.

Риски: Отключение участника платформы цифрового рубля от платформы цифрового рубля, негативное освещение в СМИ. Возможны последствия недопущения кредитной организации к новым пилотным проектам Банка России.

4. Нарушение законодательства о персональных данных

Основание: Федеральный закон № 152-ФЗ «О персональных данных», КоАП РФ (ст. 13.11). Компрометация данных аутентификации клиентов приравнивается к нарушению безопасности ПДн.

Риски: Отдельные административные штрафы со стороны Роскомнадзора (до сотен тысяч рублей для должностных лиц, до миллионов — для юридических), возможное приостановление обработки ПДн.

5. Гражданско-правовая ответственность перед клиентами и репутационные потери.

Основание: Гражданский кодекс РФ, Федеральный закон № 161-ФЗ «О национальной платежной системе». Если в результате недостатков в системе защиты будет доказана вина банка в осуществлении несанкционированного перевода, банк обязан возместить клиенту сумму потери.

Риски: Прямые финансовые убытки от возврата средств, судебные издержки, компенсация морального вреда. Невозвратимый ущерб деловой репутации, отток клиентов, падение стоимости бизнеса.

Все материалы носят исключительно информационно-ознакомительный характер и не являются юридической консультацией