Указание Банка России от 05.06.2013 N 3007-У "О внесении изменений в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (Зарегистрировано в Минюсте России 01.07.2013 N 28930)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УКАЗАНИЕ
от 5 июня 2013 г. N 3007-У

О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В ПОЛОЖЕНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА
N 382-П "О ТРЕБОВАНИЯХ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ И О ПОРЯДКЕ
ОСУЩЕСТВЛЕНИЯ БАНКОМ РОССИИ КОНТРОЛЯ ЗА СОБЛЮДЕНИЕМ
ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ"

1. Внести в Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.

1.1. В абзаце девятом пункта 2.1 слова "технических средств по защите информации" заменить словами "технических средств защиты информации".

1.2. Пункт 2.2 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, относят события, которые возникли вследствие нарушения требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации при осуществлении переводов денежных средств, которые установлены оператором по переводу денежных средств и доведены им до клиента, и которые:

привели к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;

привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;

привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.".

1.3. Подпункт 2.6.3 пункта 2.6 изложить в следующей редакции:

"2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;

идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;

определение порядка использования информации, необходимой для выполнения аутентификации;

регистрацию действий при осуществлении доступа своих работников к защищаемой информации;

регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:

выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;

выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;

регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);

регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.

Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:

дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);

код, соответствующий выполняемому действию;

идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).

Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).

Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.

Оператор по переводу денежных средств определяет во внутренних документах:

порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

подлежащий регистрации идентификатор устройства;

порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.

Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).

При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.".

1.4. Пункт 2.13 дополнить подпунктом 2.13.4 следующего содержания:

"2.13.4. Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают регистрацию самостоятельно выявленных инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных клиентами данного оператора по переводу денежных средств.

Оператор по переводу денежных средств обеспечивает регистрацию ставших ему известными инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами (субагентами).

Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры определяют во внутренних документах порядок регистрации и хранения сведений об инцидентах, указанных в абзацах первом - третьем настоящего подпункта".

1.5. В пункте 2.15:

подпункт 2.15.2 дополнить абзацем следующего содержания:

"Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.";

подпункт 2.15.3 дополнить абзацами следующего содержания:

"Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:

заполненную форму 1, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

заполненную форму 2, установленную приложением 1 к настоящему Положению и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;

сроки проведения оценки соответствия;

сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.".

1.6. В приложении 2:

строку П.28 изложить в следующей редакции:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.28  │  2.6.3   │При осуществлении  доступа  к  защищаемой│ Требование  │
│      │          │информации,   находящейся   на   объектах│  категории  │
│      │          │информационной инфраструктуры,  указанных│ проверки 1  │
│      │          │в подпункте 2.6.1 пункта  2.6  настоящего│             │
│      │          │Положения, оператор по переводу  денежных│             │
│      │          │средств,   банковский   платежный   агент│             │
│      │          │(субагент)    обеспечивают    регистрацию│             │
│      │          │действий,  связанных  с   назначением   и│             │
│      │          │распределением       прав       клиентов,│             │
│      │          │предоставленных им  в  автоматизированных│             │
│      │          │системах и программном обеспечении       │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

строку П.29 изложить в следующей редакции:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.29  │  2.6.3   │При осуществлении  доступа  к  защищаемой│ Требование  │
│      │          │информации,   находящейся   на   объектах│  категории  │
│      │          │информационной инфраструктуры,  указанных│ проверки 1  │
│      │          │в подпункте 2.6.1 пункта  2.6  настоящего│             │
│      │          │Положения, оператор по переводу  денежных│             │
│      │          │средств,   банковский   платежный   агент│             │
│      │          │(субагент)    обеспечивают    регистрацию│             │
│      │          │действий    клиентов,    выполняемых    с│             │
│      │          │использованием автоматизированных систем,│             │
│      │          │программного обеспечения.                │             │
│      │          │Банковским платежным агентом (субагентом)│             │
│      │          │обеспечивается    регистрация    действий│             │
│      │          │клиентов,  выполняемых  с  использованием│             │
│      │          │автоматизированных  систем,  программного│             │
│      │          │обеспечения,  при   наличии   технической│             │
│      │          │возможности с учетом выполняемого перечня│             │
│      │          │операций          и          используемых│             │
│      │          │автоматизированных  систем,  программного│             │
│      │          │обеспечения,     эксплуатация     которых│             │
│      │          │обеспечивается    банковским    платежным│             │
│      │          │агентом (субагентом)                     │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

после строки П.29 дополнить строками П.29.1, П.29.2, П.29.3, П.29.4 следующего содержания:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.29.1│  2.6.3   │При осуществлении  доступа  к  защищаемой│ Требование  │
│      │          │информации,   находящейся   на   объектах│  категории  │
│      │          │информационной инфраструктуры,  указанных│ проверки 1  │
│      │          │в подпункте 2.6.1 пункта  2.6  настоящего│             │
│      │          │Положения, оператор по переводу  денежных│             │
│      │          │средств,   банковский   платежный   агент│             │
│      │          │(субагент)    обеспечивают    регистрацию│             │
│      │          │следующей    информации    о    действиях│             │
│      │          │клиентов,  выполняемых  с  использованием│             │
│      │          │автоматизированной системы,  программного│             │
│      │          │обеспечения:                             │             │
│      │          │    дата   (день,  месяц,  год)  и  время│             │
│      │          │(часы,  минуты,   секунды)  осуществления│             │
│      │          │действия клиента;                        │             │
│      │          │    идентификатор клиента;               │             │
│      │          │    код,   соответствующий   выполняемому│             │
│      │          │действию;                                │             │
│      │          │    идентификатор устройства             │             │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.2│  2.6.3   │Оператор  по  переводу  денежных  средств│ Требование  │
│      │          │обеспечивает     хранение     информации,│  категории  │
│      │          │указанной   в   абзацах   тринадцатом   -│ проверки 3  │
│      │          │шестнадцатом подпункта 2.6.3  пункта  2.6│             │
│      │          │настоящего Положения, не менее пяти  лет,│             │
│      │          │начиная  с  даты  осуществления  клиентом│             │
│      │          │действия, выполняемого  с  использованием│             │
│      │          │автоматизированной системы,  программного│             │
│      │          │обеспечения                              │             │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.3│  2.6.3   │Оператор  по  переводу  денежных  средств│ Требование  │
│      │          │определяет во внутренних документах:     │  категории  │
│      │          │    порядок   формирования    уникального│ проверки 2  │
│      │          │идентификатора         клиента          в│             │
│      │          │автоматизированной  системе,  программном│             │
│      │          │обеспечении;                             │             │
│      │          │    перечень  кодов  действий   клиентов,│             │
│      │          │выполняемых при  осуществлении  переводов│             │
│      │          │денежных   средств    с    использованием│             │
│      │          │автоматизированной системы,  программного│             │
│      │          │обеспечения;                             │             │
│      │          │    подлежащий  регистрации идентификатор│             │
│      │          │устройства;                              │             │
│      │          │    порядок  регистрации    и    хранения│             │
│      │          │информации,    указанной    в     абзацах│             │
│      │          │тринадцатом  -   шестнадцатом   подпункта│             │
│      │          │2.6.3 пункта 2.6 настоящего Положения    │             │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.29.4│  2.6.3   │Оператор  по  переводу  денежных  средств│ Требование  │
│      │          │определяет требования к порядку, форме  и│  категории  │
│      │          │срокам   передачи   ему   информации    о│ проверки 2  │
│      │          │действиях   клиентов,    выполняемых    с│             │
│      │          │использованием         автоматизированных│             │
│      │          │систем,     программного     обеспечения,│             │
│      │          │регистрируемой   банковскими   платежными│             │
│      │          │агентами (субагентами)                   │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

строку П.59 изложить в следующей редакции:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.59  │  2.9.1   │В  случае  если  оператор   по   переводу│ Требование  │
│      │          │денежных  средств,  банковский  платежный│  категории  │
│      │          │агент    (субагент),    оператор    услуг│ проверки 3  │
│      │          │платежной инфраструктуры  применяют  СКЗИ│             │
│      │          │российского   производителя,    указанные│             │
│      │          │СКЗИ     должны     иметь     сертификаты│             │
│      │          │уполномоченного государственного органа  │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

после строки П.106 дополнить строками П.106.1, П.106.2 следующего содержания:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.106.│  2.13.4  │Оператор по  переводу  денежных  средств,│ Требование  │
│1     │          │оператор услуг  платежной  инфраструктуры│  категории  │
│      │          │обеспечивают  регистрацию  самостоятельно│ проверки 3  │
│      │          │выявленных   инцидентов,   связанных    с│             │
│      │          │нарушением   требований   к   обеспечению│             │
│      │          │защиты   информации   при   осуществлении│             │
│      │          │переводов денежных средств.              │             │
│      │          │Оператор  по  переводу  денежных  средств│             │
│      │          │обеспечивает  регистрацию   ставших   ему│             │
│      │          │известными   инцидентов,   связанных    с│             │
│      │          │нарушением   требований   к   обеспечению│             │
│      │          │защиты   информации   при   осуществлении│             │
│      │          │переводов  денежных  средств,  выявленных│             │
│      │          │клиентами данного оператора  по  переводу│             │
│      │          │денежных средств.                        │             │
│      │          │Оператор  по  переводу  денежных  средств│             │
│      │          │обеспечивает  регистрацию   ставших   ему│             │
│      │          │известными   инцидентов,   связанных    с│             │
│      │          │нарушением   требований   к   обеспечению│             │
│      │          │защиты   информации   при   осуществлении│             │
│      │          │переводов  денежных  средств,  выявленных│             │
│      │          │банковскими      платежными      агентами│             │
│      │          │(субагентами)                            │             │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.106.│  2.13.4  │Оператор по  переводу  денежных  средств,│ Требование  │
│2     │          │оператор услуг  платежной  инфраструктуры│  категории  │
│      │          │определяют   во   внутренних   документах│ проверки 2  │
│      │          │порядок регистрации и  хранения  сведений│             │
│      │          │об инцидентах, указанных в абзацах первом│             │
│      │          │- третьем подпункта  2.13.4  пункта  2.13│             │
│      │          │настоящего Положения                     │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

строку П.109 изложить в следующей редакции:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.109 │  2.14.3  │Оператор по переводу  денежных   средств,│ Требование  │
│      │          │оператор услуг платежной   инфраструктуры│ категории   │
│      │          │обеспечивают     выполнение       порядка│ проверки 3  │
│      │          │обеспечения   защиты   информации     при│             │
│      │          │осуществлении переводов денежных средств │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ";

после строки П.113 дополнить строками П.113.1, П.113.2 следующего содержания:

"
┌──────┬──────────┬─────────────────────────────────────────┬─────────────┐
│П.113.│  2.15.2  │Организация,   ставшая   оператором    по│ Требование  │
│1     │          │переводу  денежных  средств,   оператором│  категории  │
│      │          │платежной   системы,   оператором   услуг│ проверки 3  │
│      │          │платежной     инфраструктуры,      должна│             │
│      │          │провести  первую  оценку  соответствия  в│             │
│      │          │течение  шести  месяцев  после  получения│             │
│      │          │соответствующего статуса                 │             │
├──────┼──────────┼─────────────────────────────────────────┼─────────────┤
│П.113.│  2.15.3  │Оператор по  переводу  денежных  средств,│ Требование  │
│2     │          │оператор  платежной   системы,   оператор│  категории  │
│      │          │услуг   платежной    инфраструктуры    по│ проверки 2  │
│      │          │результатам оценки соответствия  в  целях│             │
│      │          │ее     документального      подтверждения│             │
│      │          │формируют  отчет,  который   утверждается│             │
│      │          │исполнительными  органами  управления   и│             │
│      │          │хранится   в    порядке,    установленном│             │
│      │          │соответствующим     оператором.     Отчет│             │
│      │          │включает  сведения  о  проведении  оценки│             │
│      │          │соответствия, в том числе:               │             │
│      │          │    заполненную  форму  1,  установленную│             │
│      │          │приложением 1 к  настоящему  Положению  и│             │
│      │          │содержащую оценки  выполнения  требований│             │
│      │          │к  обеспечению  защиты   информации   при│             │
│      │          │осуществлении     переводов      денежных│             │
│      │          │средств;                                 │             │
│      │          │    заполненную  форму  2,  установленную│             │
│      │          │приложением 1 к  настоящему  Положению  и│             │
│      │          │содержащую оценки  выполнения  требований│             │
│      │          │к  обеспечению  защиты   информации   при│             │
│      │          │осуществлении     переводов      денежных│             │
│      │          │средств;                                 │             │
│      │          │    сроки проведения оценки соответствия;│             │
│      │          │    сведения   о  сторонней   организации│             │
│      │          │(наименование   и   местонахождение)    в│             │
│      │          │случае  ее  привлечения   оператором   по│             │
│      │          │переводу  денежных  средств,   оператором│             │
│      │          │платежной   системы,   оператором   услуг│             │
│      │          │платежной инфраструктуры  для  проведения│             │
│      │          │оценки соответствия                      │             │
└──────┴──────────┴─────────────────────────────────────────┴─────────────┘
                                                                           ".

2. Настоящее Указание в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 24 апреля 2013 года N 8) вступает в силу со дня его официального опубликования в "Вестнике Банка России", за исключением подпункта 1.3 и абзацев второго, третьего и четвертого подпункта 1.6 пункта 1 настоящего Указания.

Подпункт 1.3 и абзацы второй, третий и четвертый подпункта 1.6 пункта 1 настоящего Указания вступают в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".

3. Организация, являющаяся на день вступления в силу настоящего Указания оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести оценку соответствия в течение шести месяцев со дня вступления в силу настоящего Указания.

Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области