к Положению Банка России
от 9 июня 2012 года N 382-П
"О требованиях к обеспечению защиты
информации при осуществлении
переводов денежных средств
и о порядке осуществления
Банком России контроля
за соблюдением требований
к обеспечению защиты
информации при осуществлении
переводов денежных средств"
ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ, ВЫПОЛНЕНИЕ
КОТОРЫХ ПРОВЕРЯЕТСЯ ПРИ ПРОВЕДЕНИИ ОЦЕНКИ СООТВЕТСТВИЯ
Список изменяющих документов
(в ред. Указаний Банка России от 05.06.2013 N 3007-У,
от 14.08.2014 N 3361-У)
N |
Номер подпункта настоящего Положения |
Формулировка требования к обеспечению защиты информации при осуществлении переводов денежных средств |
Категории проверки требования |
1 |
2 |
3 |
4 |
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, оценки выполнения которых используются для вычисления обобщающего показателя |
|||
П.1 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами по осуществлению доступа к защищаемой информации |
Требование категории проверки 1 |
|
П.2 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами по управлению криптографическими ключами |
Требование категории проверки 1 |
|
П.3 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа |
Требование категории проверки 1 |
|
П.4 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию своих работников, обладающих правами по формированию электронных сообщений |
Требование категории проверки 1 |
|
П.5 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры |
Требование категории проверки 1 |
|
П.6 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета выполнения одним лицом в один момент времени ролей, связанных с эксплуатацией объекта информационной инфраструктуры в части его использования по назначению и эксплуатацией объекта информационной инфраструктуры в части его технического обслуживания и ремонта |
Требование категории проверки 1 |
|
П.7 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль и регистрацию действий лиц, которым назначены роли, определенные в подпункте 2.4.1 пункта 2.4 настоящего Положения |
Требование категории проверки 1 |
|
П.8 |
Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры обеспечивают включение в технические задания на создание (модернизацию) объектов информационной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств |
Требование категории проверки 3 |
|
П.9 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают участие службы информационной безопасности в разработке и согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры |
Требование категории проверки 3 |
|
П.10 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), являющийся юридическим лицом, оператор услуг платежной инфраструктуры обеспечивают контроль со стороны службы информационной безопасности соответствия создаваемых (модернизируемых) объектов информационной инфраструктуры требованиям технических заданий |
Требование категории проверки 1 |
|
П.11 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают наличие эксплуатационной документации на используемые технические средства защиты информации |
Требование категории проверки 2 |
|
П.12 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают контроль выполнения требований эксплуатационной документации на используемые технические средства защиты информации в течение всего срока их эксплуатации |
Требование категории проверки 1 |
|
П.13 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают восстановление функционирования технических средств защиты информации, используемых при осуществлении переводов денежных средств, в случаях сбоев и (или) отказов в их работе |
Требование категории проверки 1 |
|
П.14 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры |
Требование категории проверки 1 |
|
П.15 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают реализацию запрета несанкционированного копирования защищаемой информации |
Требование категории проверки 1 |
|
П.16 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают защиту резервных копий защищаемой информации |
Требование категории проверки 1 |
|
П.17 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают уничтожение защищаемой информации в случаях, когда указанная информация больше не используется, за исключением защищаемой информации, перемещенной в архивы, ведение и сохранность которых предусмотрены законодательными актами Российской Федерации, нормативными актами Банка России, правилами платежной системы и (или) договорами, заключенными оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором платежной системы, оператором услуг платежной инфраструктуры |
Требование категории проверки 1 |
|
П.18 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры обеспечивают уничтожение защищаемой информации, в том числе содержащейся в архивах, способом, обеспечивающим невозможность ее восстановления |
Требование категории проверки 1 |
|
П.18.1 |
При разработке программного обеспечения, предназначенного для использования клиентом при осуществлении переводов денежных средств, самостоятельно или с привлечением сторонних организаций, а также при разработке изменений указанного программного обеспечения оператор по переводу денежных средств обеспечивает реализацию в указанном программном обеспечении функций, связанных: с выполнением требований к защите информации при осуществлении переводов денежных средств; с предотвращением несанкционированного доступа к защищаемой информации, передаваемой по информационно-телекоммуникационным сетям, в частности, по сети "Интернет" |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.18.2 |
Оператор по переводу денежных средств контролирует реализацию функций, указанных в подпункте 2.5.7 пункта 2.5 настоящего Положения, при разработке программного обеспечения с привлечением сторонней организации, а также при закупке готового к использованию без дополнительной доработки программного обеспечения |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.18.3 |
В случае если программное обеспечение, используемое клиентом при осуществлении переводов денежных средств, разрабатывалось оператором по переводу денежных средств самостоятельно или с привлечением сторонних организаций: оператор по переводу денежных средств обеспечивает распространение изменений, вносимых в указанное программное обеспечение, направленных на устранение ставших известными оператору по переводу денежных средств уязвимостей указанного программного обеспечения; оператор по переводу денежных средств определяет являющиеся актуальными версии указанного программного обеспечения и обеспечивает контроль использования клиентом актуальных версий указанного программного обеспечения |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.18.4 |
В случае распространения программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, оператор по переводу денежных средств доводит до клиента инструкцию по эксплуатации (эксплуатационную документацию) данного программного обеспечения и информацию об условиях его эксплуатации либо указывает общедоступный ресурс, с использованием которого клиент имеет возможность получить указанную инструкцию (эксплуатационную документацию) и информацию об условиях эксплуатации данного программного обеспечения |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.18.5 |
В случае распространения изменений программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, оператор по переводу денежных средств вносит соответствующие им изменения в инструкцию по эксплуатации (эксплуатационную документацию) данного программного обеспечения |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.18.6 |
Оператор по переводу денежных средств регламентирует и контролирует внесение изменений в программное обеспечение, средства вычислительной техники в составе объектов информационной инфраструктуры, а также в программное обеспечение, используемое клиентом при осуществлении переводов денежных средств; при этом в обязательном порядке должны вноситься изменения, направленные на устранение ставших известными оператору по переводу денежных средств уязвимостей программного обеспечения, средств вычислительной техники |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 14.08.2014 N 3361-У) |
|||
П.19 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают учет объектов информационной инфраструктуры, используемых для обработки, хранения и (или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов |
Требование категории проверки 1 |
|
П.20 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение некриптографических средств защиты информации от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия |
Требование категории проверки 3 |
|
П.21 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации |
Требование категории проверки 1 |
|
П.22 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств |
Требование категории проверки 1 |
|
П.23 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают определение порядка использования информации, необходимой для выполнения аутентификации |
Требование категории проверки 2 |
|
П.24 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий при осуществлении доступа своих работников к защищаемой информации |
Требование категории проверки 1 |
|
П.25 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации |
Требование категории проверки 1 |
|
П.26 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов |
Требование категории проверки 1 |
|
П.27 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов |
Требование категории проверки 1 |
|
П.28 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах и программном обеспечении |
Требование категории проверки 1 |
|
(в ред. Указания Банка России от 05.06.2013 N 3007-У) |
|||
П.29 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения. Банковским платежным агентом (субагентом) обеспечивается регистрация действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом) |
Требование категории проверки 1 |
|
(в ред. Указания Банка России от 05.06.2013 N 3007-У) |
|||
П.29.1 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают регистрацию следующей информации о действиях клиентов, выполняемых с использованием автоматизированной системы, программного обеспечения: дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента; идентификатор клиента; код, соответствующий выполняемому действию; идентификатор устройства |
Требование категории проверки 1 |
|
(введено Указанием Банка России от 05.06.2013 N 3007-У) |
|||
П.29.2 |
Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом подпункта 2.6.3 пункта 2.6 настоящего Положения, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения |
Требование категории проверки 3 |
|
(введено Указанием Банка России от 05.06.2013 N 3007-У) |
|||
П.29.3 |
Оператор по переводу денежных средств определяет во внутренних документах: порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении; перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения; подлежащий регистрации идентификатор устройства; порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом подпункта 2.6.3 пункта 2.6 настоящего Положения |
Требование категории проверки 2 |
|
(введено Указанием Банка России от 05.06.2013 N 3007-У) |
|||
П.29.4 |
Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами) |
Требование категории проверки 2 |
|
(введено Указанием Банка России от 05.06.2013 N 3007-У) |
|||
П.30 |
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 пункта 2.6 настоящего Положения, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов |
Требование категории проверки 1 |
|
П.31 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают реализацию запрета несанкционированного расширения прав доступа к защищаемой информации |
Требование категории проверки 1 |
|
П.32 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают назначение своим работникам минимально необходимых для выполнения их функциональных обязанностей прав доступа к защищаемой информации |
Требование категории проверки 1 |
|
П.33 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для контроля физического доступа к объектам информационной инфраструктуры (за исключением банкоматов, платежных терминалов и электронных средств платежа), сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, а также доступа в здания и помещения, в которых они размещаются |
Требование категории проверки 3 |
|
П.34 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для предотвращения физического воздействия на средства вычислительной техники и телекоммуникационное оборудование, сбои и (или) отказы в работе которых приводят к невозможности предоставления услуг по переводу денежных средств или к несвоевременности осуществления переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных средств платежа |
Требование категории проверки 3 |
|
П.35 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры принимают и фиксируют во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения |
Требование категории проверки 3 |
|
П.36 |
В случае принятия оператором по переводу денежных средств, банковским платежным агентом (субагентом), оператором услуг платежной инфраструктуры решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, указанных в подпункте 2.6.5 пункта 2.6 настоящего Положения, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают применение указанных организационных мер защиты информации и (или) использование указанных технических средств защиты информации |
Требование категории проверки 1 |
|
П.37 |
Утратил силу. - Указание Банка России от 14.08.2014 N 3361-У |
||
П.38 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают принятие мер, направленных на предотвращение хищений носителей защищаемой информации |
Требование категории проверки 1 |
|
П.39 |
Оператор по переводу денежных средств обеспечивает возможность приостановления (блокирования) клиентом приема к исполнению распоряжений об осуществлении переводов денежных средств от имени указанного клиента |
Требование категории проверки 1 |
|
П.40 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода на средствах вычислительной техники, включая банкоматы и платежные терминалы, при наличии технической возможности |
Требование категории проверки 1 |
|
П.41 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают регулярное обновление версий технических средств защиты информации от воздействия вредоносного кода и баз данных, используемых в работе технических средств защиты информации от воздействия вредоносного кода и содержащих описание вредоносных кодов и способы их обезвреживания |
Требование категории проверки 3 |
|
П.42 |
Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают функционирование технических средств защиты информации от воздействия вредоносного кода в автоматическом режиме, при наличии технической возможности |
Требование категории проверки 3 |
|
П.43 |
Оператор по переводу денежных средств обеспечивает формирование для клиентов рекомендаций по защите информации от воздействия вредоносного кода |
Требование категории проверки 2 |
|
