Положение 719-П

Положение Банка России от 04.06.2020 N 719-П

«О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Кого касается

Предприятия, осуществляющие переводы денежных средств:

  • операторы по переводу денежных средств;

  • банковские платежные агенты (субагенты);

  • операторы услуг информационного обмена;

  • операторы услуг платежной инфраструктуры.

Когда применяется

  • При выборе прикладного ПО и средств защиты информации для переводов денежных средств

  • При операциях по переводу денежных средств

  • При приеме и выдаче наличных денежных средств, в том числе при помощи банкомата

  • При инцидентах, связанных с нарушением требований по защите информации при денежных переводах

Самое главное

  • Для защиты информационной инфраструктуры, используемой для денежных переводов, должны использоваться меры, описанные в Положении.

  • Ежегодно должны проводиться тестирования на проникновение и анализ уязвимостей информационной инфраструктуры.

  • Не реже раза в два года должна проводиться оценка соответствия уровня защиты информации. Отчеты оценки соответствия защиты информации должны храниться не менее 5 лет для предоставления в случае необходимости.

  • Электронные сообщения между участниками процесса должны подписываться усиленной электронной подписью.

  • Для обеспечения безопасности данных необходимо использовать сертифицированное программное обеспечение, в том числе прикладное.

  • Необходимо вести регистрацию результатов действий, связанных с защищаемой информацией.

  • Организации должны информировать Банк России о мерах по защите информации и инцидентах, связанных с безопасностью.

  • Должны соблюдаться требования законодательства и использоваться соответствующие меры в отношении защиты персональных данных.


Используемые термины


Инцидент – компьютерным инцидентом является факт нарушения или прекращения функционирования объекта КИИ, сети электросвязи, используемой для организации взаимодействия таких объектов, или нарушения безопасности обрабатываемой таким объектом информации, в том числе произошедший в результате компьютерной атаки. 

Оператор по переводу денежных средств – организация, которая в соответствии с законодательством РФ вправе осуществлять перевод денежных средств.


Краткое изложение

Положение от 4 июня 2020 г. N 719-П обязывает операторов по переводу денежных средств и других участников платежной системы следовать требованиям по обеспечению защиты информации при осуществлении переводов.

Глава 1

  • Операторы по переводу денежных средств должны обеспечивать защиту информации при осуществлении переводов денежных средств.

  • Объекты информационной инфраструктуры должны соответствовать уровням защиты информации, определенным ГОСТ Р 57580.1-2017.

  • Операторы должны проводить ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.

  • Оценка соответствия уровням защиты информации должна осуществляться с привлечением сторонних организаций.

  • Операторы по переводу денежных средств должны хранить отчет проверяющей организации по результатам оценки соответствия защиты информации не менее пяти лет.

  • Операторы по переводу денежных средств, банковские платежные агенты, операторы услуг информационного обмена и операторы услуг платежной инфраструктуры должны использовать сертифицированное программное обеспечение.

  • Оценка соответствия прикладного программного обеспечения автоматизированных систем и приложений должна проводиться с привлечением проверяющих организаций.

  • Операторы по переводу денежных средств должны обеспечивать защиту информации при осуществлении переводов денежных средств.

  • Защищаемая информация включает данные об идентификации, аутентификации и авторизации клиентов, электронные сообщения и информацию об осуществленных переводах.

  • Операторы должны обеспечивать целостность и достоверность защищаемой информации, регламентировать и контролировать технологию обработки информации.

  • Регистрации подлежат данные о действиях, выполняемых работниками и клиентами с использованием автоматизированных систем и программного обеспечения.

  • Регистрации подлежат дата, время, идентификатор работника или клиента, код технологического участка, результат действия и информация об устройствах.

  • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры обязаны информировать Банк России о выявленных инцидентах защиты информации и планируемых мероприятиях.

  • Если защищаемая информация содержит персональные данные, должны применяться меры по обеспечению безопасности персональных данных.

  • Обеспечение защиты информации при осуществлении переводов денежных средств с использованием средств криптографической защиты информации осуществляется в соответствии с Федеральным законом N 63-ФЗ и Положением ПКЗ-2005.

  • Обеспечение защиты персональных данных с использованием СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10.07.2014 N 378.

  • В случае применения СКЗИ российского производителя они должны иметь сертификаты уполномоченного государственного органа.

  • При взаимодействии операторов денежных средств и банковских платежных агентов требуется подписание электронных сообщений усиленной электронной подписью.

  • Электронные сообщения, подписанные электронной подписью, должны признаваться равнозначными документам на бумажном носителе.

  • Настоящее Положение не распространяется на отношения, регулируемые Федеральным законом N 187-ФЗ.

  • При обеспечении безопасности автоматизированных систем и средств вычислительной техники, используемых для переводов денежных средств, применяются требования Федерального закона N 187-ФЗ.

Глава 2

  • Операторы по переводу денежных средств обязаны обеспечить защиту информации при осуществлении переводов.
  • Оценка соответствия защиты информации проводится не реже одного раза в два года.
  • Уровень соответствия защиты информации должен быть не ниже четвертого.
  • Системно значимые операторы должны обеспечить сертификацию ПО автоматизированных систем и приложений.
  • Операторы информируются о выявленных инцидентах защиты информации привлекаемыми агентами.
  • Операторы устанавливают ограничения по параметрам операций клиентов с использованием сети Интернет.
  • Операторы по переводу денежных средств должны обеспечить защиту информации от вредоносного кода при использовании сети Интернет.
  • Технологические меры включают идентификацию и аутентификацию клиентов, двухфакторную аутентификацию, защиту электронных сообщений и взаимную аутентификацию участников обмена.
  • Клиенты могут использовать независимые программные среды и контролировать реквизиты распоряжений о переводе денежных средств.
  • Могут быть установлены временные ограничения на подтверждение электронных сообщений.
  • Программное обеспечение для мобильных устройств клиента может быть проверено на недекларируемые модификации.
  • При реализации ограничений по параметрам операций могут быть установлены ограничения на максимальную сумму, перечень получателей, временной период и географическое местоположение устройств.
  • Операторы могут применять другие ограничения, определенные договорами с клиентами.
  • Операторы по переводу денежных средств контролируют соблюдение требований к защите информации банковскими платежными агентами и субагентами.
  • Операторы определяют критерии и периодичность тестирования на проникновение и анализа уязвимостей для агентов и субагентов.
  • Получение информации о соблюдении требований защиты информации осуществляется в соответствии с договорами между операторами и агентами и субагентами.
  • Реализация требований к защите информации должна обеспечивать низкий уровень переводов денежных средств без согласия клиента – не более 0,005%.
  • При подтверждении переводов денежных средств через электронную почту операторы должны реализовать механизмы подтверждения принадлежности адреса электронной почты клиенту.
  • Поставщики платежных приложений должны обеспечить соответствие приложений требованиям к защите информации.

Глава 3

  • Банковские платежные агенты должны обеспечивать защиту информации при осуществлении переводов денежных средств.
  • Защита информации должна быть обеспечена в том числе для операций с наличными денежными средствами, включая прием и выдачу денег через банкоматы.
  • Банковские платежные агенты, осуществляющие операции платежного агрегатора, также должны обеспечивать защиту информации.
  • Защищаемая информация включает информацию в соответствии с графой «Защищаемая информация» строк 1 и 2 приложения 2 к Положению.
  • Уровень защиты информации должен соответствовать ГОСТ Р 57580.1-2017 и ГОСТ Р 57580.2-2018.
  • Банковские платежные агенты и субагенты должны проводить тестирование на проникновение и анализ уязвимостей информационной безопасности.
  • Оценка соответствия защиты информации должна проводиться не реже одного раза в два года.
  • Сертификация прикладного программного обеспечения автоматизированных систем и приложений должна быть обеспечена на уровне доверия не ниже шестого.
  • Оценка соответствия ПО проводится самостоятельно или с привлечением проверяющей организации – по решению банковских платежных агентов.
  • Банковские платежные агенты должны обеспечить реализацию технологических мер по защите информации при осуществлении операций. Приложения 1 и 2 к Положению содержат требования к мерам защиты информации.

Глава 4

  • Операторы услуг информационного обмена обязаны обеспечивать защиту информации при осуществлении переводов денежных средств.
  • Защищаемая информация включает информацию, соответствующую графе «Защищаемая информация» приложения 2 к Положению.
  • Операторы должны обеспечить реализацию стандартного уровня защиты информации в соответствии с ГОСТ Р 57580.1-2017.
  • Уровень защиты информации может быть повышен на основе анализа рисков.
  • Операторы услуг информационного обмена должны проводить оценку соответствия защиты информации не реже одного раза в два года.
  • Уровень соответствия защиты информации должен быть не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
  • В случае сертификации прикладного программного обеспечения, уровень доверия должен быть не ниже пятого в соответствии с приказом ФСТЭК России N 131.
  • Операторы услуг информационного обмена должны обеспечить реализацию технологических мер по защите информации в соответствии с приложениями 1 и 2 к Положению.

Глава 5

  • Операторы платежных систем должны обеспечить защиту информации при осуществлении переводов денежных средств.
  • Оператор платежной системы определяет порядок обеспечения защиты информации в платежной системе.
  • Риск информационной безопасности является одним из видов операционного риска в платежной системе.
  • Операторы по переводу денежных средств и операторы услуг платежной инфраструктуры должны соблюдать требования к обеспечению защиты информации.
  • Операторы должны выявлять и идентифицировать риск информационной безопасности в платежной системе.
  • Операторы должны реагировать на инциденты защиты информации и восстанавливать функционирование платежной системы.
  • Оператор платежной системы должен установить требования к содержанию, форме и периодичности направления информации для целей анализа обеспечения защиты информации.
  • Оператор национально значимой платежной системы должен уведомить федеральный орган исполнительной власти об установленных требованиях к информации в части применения СКЗИ.
  • Оператор платежной системы должен обеспечить учет и доступность информации о защите информации в платежной системе.
  • Оператор значимой платежной системы должен обеспечить использование СКЗИ в информационной инфраструктуре платежной системы.
  • В целях обеспечения бесперебойности функционирования информационной инфраструктуры платежной системы оператору национально значимой платежной системы следует определять долю технических средств, в которых обеспечивается использование СКЗИ.
  • Операторы по переводу денежных средств, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры вправе применять СКЗИ иностранного производства для обеспечения защиты информации, если они имеют подтверждение соответствия требованиям безопасности, установленным федеральным органом исполнительной. 
  • Разработка и эксплуатация СКЗИ должны проводиться в соответствии с Положением ПКЗ-2005.
  • Оператор платежной системы определяет порядок проведения работ по разработке, сертификации и оценке соответствия в отношении прикладного программного обеспечения автоматизированных систем и платежных приложений.

Глава 6

  • Операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств.
  • Операторы услуг платежной инфраструктуры должны реализовать уровни защиты информации в соответствии с ГОСТ Р 57580.1-2017.
  • Операторы услуг платежной инфраструктуры, оказывающие услуги в рамках системно значимых платежных систем, должны реализовать усиленный уровень защиты информации.
  • Операторы услуг платежной инфраструктуры должны проводить оценку соответствия защиты информации не реже одного раза в два года.
  • Уровень соответствия защиты информации должен быть не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
  • Операторы услуг платежной инфраструктуры вправе самостоятельно определять необходимость сертификации или оценки соответствия по требованиям к ОУД.
  • В случае принятия решения о сертификации прикладного программного обеспечения операторы услуг платежной инфраструктуры должны обеспечить сертификацию не ниже определенного уровня доверия в соответствии с приказом ФСТЭК России N 131.
  • Операторы услуг платежной инфраструктуры должны обеспечивать реализацию технологических мер по защите информации в соответствии с приложениями 1 и 2 к Положению.

Глава 7

Банк России:

  • контролирует соблюдение требований к защите информации при осуществлении переводов денежных средств;
  • анализирует информацию о деятельности операторов платежных систем и услуг платежной инфраструктуры;
  • запрашивает и получает документы и информацию от операторов платежных систем и услуг платежной инфраструктуры;
  • проводит проверки и инспекционные проверки операторов платежных систем и услуг платежной инфраструктуры;
  • применяет меры к операторам платежных систем и услуг платежной инфраструктуры в соответствии с законодательством;
  • контролирует соблюдение требований к защите информации операторами по переводу денежных средств.

Полная версия документа

Оставьте заявку на  бесплатную консультацию