Основные направления

Положение 382-П устанавливает требования по защите информации при осуществлении переводов денежных средств по следующим основным направлениям:

1. Распределение ролей и ответственность

С целью организации доступа к информационным ресурсам в Организации могут применяться различные модели доступа (дискреционная, мандатная, ролевая). В соответствии с рекомендациями Банка России может применяться ролевая модель доступа. При формировании такой модели должны быть учитываться следующие общие положения:

  • формирование ролей должно осуществляться на основании бизнес-процессов;
  • формирование ролей является задачей бизнес-подразделения Организации, ответственного за описываемых бизнес-процесс;
  • роли должны быть персонифицированы, с установлением ответственности за их исполнение;
  • при определении ролей, должны учитываться цели Организации, имеющиеся ресурсы, функциональные и процедурные требования, критерии оценки эффективности выполнения правил для данной роли.

Кроме этого, в документах Банка России определены формальные требования к определению перечней лиц, обладающих определенными правами и(или) назначенные на роли, связанные с реализацией процессов обработки платежной информации и процессов обеспечения информационной безопасности при осуществлении переводов денежных средства.

Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор по переводу денежных средств банковский платежный агент (субагент) оператор услуг платежной инфраструктуры Оператор платежной системы
П.1 Регистрация лиц, обладающих правами по осуществлению доступа к защищаемой информации Да Да Да

П.2 Регистрация лиц, обладающих правами по управлению криптографи-
ческими ключами
Да Да Да

П.3 Регистрация лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств, за исключением банкоматов, платежных терминалов и электронных
средств платеж
Да Да Да

П.4 Регистрация своих работников, обладающих правами по формированию электронных сообщений. Да Да Да

П.5 Запрет на выполнения одним лицом в один момент времени ролей, связанных с созданием (модернизацией) объекта информационной инфраструктуры и эксплуатацией объекта информационной инфраструктуры. Да Да Да

7.2.3

П.6 Запрет выполнения одним лицом в один момент времени ролей, связанных с эксплуатацией в части использования по назначению объекта информационной инфраструктуры и эксплуатацией в части технического обслуживания и ремонта объекта информационной инфраструктуры Да Да Да

7.2.3

П.7 Контроль и регистрация деятельности лиц, которым назначены роли в п.2.4.1 Да Да Да

7.2.4


2. Обеспечение информационной безопасности на жизненном цикле автоматизированных систем

Важнейшим условием защиты информации обрабатываемой в автоматизированных системах является выполнение требований по защите информации на всех стадиях жизненного цикла автоматизированных систем:

Важнейшим условием защиты информации обрабатываемой в автоматизированных системах является выполнение требований по защите информации на всех стадиях жизненного цикла автоматизированных систем:

  • разработки технического задания;
  • проектирования;
  • тестирования;
  • вводе в эксплуатацию;
  • эксплуатации;
  • сопровождения;
  • модернизации;
  • снятия с эксплуатации.

Необходимо рассматривать вопросы, связанные с обеспечением информационной безопасности на стадиях жизненного цикла автоматизированных систем для минимизации возможных рисков информационной безопасности.

Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.8 Включение   в   технические задания на создание    (модернизацию)                объектов  информационной   инфраструктуры требований    к    обеспечению     защиты информации  при  осуществлении  переводов денежных средств Да Да 7.3.17.3.2
П.9 Участие службы информационной безопасности в разработке/согласовании технических заданий на создание (модернизацию) объектов информационной инфраструктуры Да Да (для юридических лиц) Да 7.3.2
П.10 Контроль со стороны службы информационной безопасности соответствия создаваемых (модернизируемых) объектов информационной инфраструктуры требованиям технических заданий Да Да (для юридических лиц) Да 7.3.3
П.11 Наличие эксплуатационной документации на используемые технические средства защиты информации Да Да Да 7.3.5
П.12 Обеспечение контроля выполнения требований эксплуатационной документации на используемые технические средства защиты информации в течение всего срока их эксплуатации Да Да Да
П.13 Обеспечение восстановления функционирования технических средства защиты информации, используемых при осуществлении переводов денежных средств в случае сбоев и(или) отказов в их работе Да Да Да 7.7.7
7.8.8
7.8.12
7.8.9
П.14 Обеспечение запрета использования защищаемой информации на стадии создания объектов информационной инфраструктуры Да Да Да Частично 7.3.7
П.15 Обеспечение запрета несанкционированного копирования защищаемой информации на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры Да Да Да Частично 7.3.11
П.16 Обеспечение защиты резервных копий защищаемой информации на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры Да Да Да
П.17 Обеспечение уничтожения защищаемой информации на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры в случаях, когда указанная информация больше не используется (за исключение случаев, предусмотренных законодательством РФ) Да Да Да 7.3.11
П.18 Обеспечение уничтожения защищаемой информации способом, обеспечивающим невозможность восстановления, на стадиях эксплуатации и снятия с эксплуатации объектов информационной инфраструктуры Да Да Да


3. Управление и контроль доступа

Организация и контроль доступа к информационным активам (информации) Организации является одним из ключевых контролей, направленных на предотвращение несанкционированного доступа к информации, нелегитимного использования и защиту интересов клиентов. Принятая модель управления доступом должна соответствовать модели потенциального злоумышленника (нарушителя).

Контроль доступа должен быть реализован на всех уровнях среды обработки информационных активов путем применения комплекса организационных и технологических мероприятий.

Однако для реализации такого комплексного подхода необходимо четкое понимания того, что мы защищаем и в какой информационной среде. Поэтому неотъемлемой частью процесса управления и контроля доступа является выявление (идентификация) и классификация как информационных активов, так и объектов среды обработки (программного обеспечения, аппаратного обеспечения и т.д.).

Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.19 Обеспечение учета объектов информационной инфраструктуры, используемых для обработки, хранения и(или) передачи защищаемой информации, в том числе банкоматов и платежных терминалов Да Да Да 7.4.18.3.3
П.20 Применение некриптографических средств защиты от несанкционированного доступа, в том числе прошедших в установленном порядке процедуру оценки соответствия Да Да Да 7.4.2
П.21 Выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации Да Да Да 7.4.3
П.22 Идентификация, аутентификация, авторизация участников платежной системы при осуществлении переводов денежных средств Да Да Да 7.4.3
П.23 Определение порядка использования информации, необходимой для выполнения аутентификации Да Да Да 7.4.3
П.24 Регистрация действий при осуществлении доступа своих работников к защищаемой информации Да Да Да 7.4.3
П.25 Регистрация действий, связанных с назначением и распределением прав доступа к защищаемой информации Да Да Да 7.4.3
7.4.5
П.26 Выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов Да Да
П.27 Выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов Да Да
П.28 Регистрация действий клиентов, выполняемых с использованием программного обеспечения, входящего в состав объектов информационной инфраструктуры и используемого для осуществления переводов денежных средств, и автоматизированных систем Да Да 7.4.4
П.29 Регистрация действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах и программном обеспечении, при наличии технической возможности Да Да
П.29.1 Регистрация информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;

набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее — идентификатор клиента);

код, соответствующий выполняемому действию;

идентификационная информация, используемая для адресации устройства

Да Да Да
П.29.2 Обеспечение хранения регистрационной информации не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения Да
П.29.3 Определение во внутренних документах:порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;

перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;

подлежащий регистрации идентификатор устройства;

порядок регистрации и хранения информации

Да
П.29.4 Определение требований к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами) Да
П.30 Регистрация действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов на объектах информационной инфраструктуры Да
П.31 Реализация запрета несанкционированного расширения прав доступа к защищаемой информации Да Да Да
П.32 Назначение своим работникам минимально необходимых для выполнения их функциональных обязанностей прав доступа к защищаемой информации Да Да Да 7.1.4
П.33 Фиксация во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для контроля физического доступа к объектам информационной инфраструктуры Да Да Да
П.34 Фиксация во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для предотвращения физического воздействия на средства вычислительной техники Да Да Да
П.35 Фиксация во внутренних документах решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации, предназначенных для регистрации доступа к банкоматам, в том числе с использованием систем видеонаблюдения Да Да Да
П.36 Применение организационных и(или) технических средств защиты информации для управления и контроля доступа Да Да Да 7.4.2
П.37 Контроль отсутствия размещения на платежных терминалах и банкоматах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств Да Да
П.38 Обеспечение принятия мер, направленных на предотвращение хищений носителей защищаемой информации Да Да Да
П.39 Обеспечение возможности приостановления (блокирования) клиентом приема к исполнению распоряжений об осуществлении переводов денежных средств от имени указанного клиента Да


4. Антивирусная защита

В Компании должна быть определена система мер, состоящих из комплекса организационных и технологических мероприятий, направленных на защиту информационных активов (информации) Компании и объектов среды их обработки от воздействия вредоносных программ (компьютерных вирусов, троянских программ и прочего деструктивного программного кода).

Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.40 Использование антивирусных средства на всех узлах, включая банкоматы и платежные терминалы, при наличии технической возможности Да Да Да п.7.5.1
П.41 Регулярное обновление версий и баз данных антивирусных средств, используемых в работе п.7.5.1
П.42 Функционирование антивирусных средств в автоматическом режиме(при наличии технической возможности) Да Да Да п.7.5.1
п.7.5.2
П.43 Формирование для клиентов рекомендаций по защите информации от воздействия вредоносного кода Да
П.44 Использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности Да Да Да п.7.5.5
П.45 Предварительная проверка на отсутствие вредоносного кода программного обеспечения, устанавливаемого или изменяемого на средствах вычислительной техники, включая банкоматы и платежные терминалы Да Да Да п.7.5.6
П.46 Проверка на отсутствие вредоносного кода средств вычислительной техники, включая банкоматы и платежные терминалы, выполняемой после установки или изменения программного обеспечения Да Да Да п.7.5.6
П.47 Принятие мер, направленных на предотвращение распространения вредоносного кода Да Да Да Да п.7.5.7
П.48 Принятие мер, направленных на устранение последствий воздействия вредоносного кода Да Да Да Да п.7.5.7
П.49 Приостановка, при необходимости, осуществление переводов денежных средств на период устранения последствий заражения вредоносным кодом Да Да Да Да п.7.5.7
П.50 В случае обнаружения вредоносного кода или факта воздействия вредоносного кода обеспечивают информирование оператора платежной системы; Да Да
П.51 В случае обнаружения вредоносного кода или факта воздействия вредоносного кода обеспечивает информирование операторов услуг платежной инфраструктуры и участников платежной системы Да

Технические решения


Консалтинговые услуги


Соответствие требованиям СТО БР ИББС



5. Контроль использования сети Интернет

Сеть Интернет не имеет единого органа управления, не является юридическим лицом. Для обеспечения информационной безопасности и конфиденциальности информации, обрабатываемой в автоматизированных системах Организации необходимо разработать и соблюдать требования по обеспечению информационной безопасности при взаимодействии с сетью Интернет. Должны быть определены цели использования сети Интернет, а также определены возможные угрозы, связанные с указанными целями.

Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.52 Применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения доступа к содержанию защищаемой информации, передаваемой по сети Интернет Да Да Да
П.53 Применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации на объектах информационной инфраструктуры с использованием сети Интернет Да Да Да
П.54 Применение организационных мер защиты информации и (или) использование технических средств защиты информации, предназначенных для предотвращения несанкционированного доступа к защищаемой информации путем использования уязвимостей программного обеспечения Да Да Да
П.55 Снижение тяжести последствий от воздействий на объекты информационной инфраструктуры с целью создания условий для невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств Да Да Да
П.56 Фильтрация сетевых пакетов при обмене информацией между вычислительными сетями, в которых располагаются объекты информационной инфраструктуры, и сетью Интернет Да Да Да
П.57 Формирование для клиентов рекомендаций по защите информации от несанкционированного доступа путем использования ложных (фальсифицированных) ресурсов сети Интернет Да

Технические решения


Консалтинговые услуги


Соответствие требованиям СТО БР ИББС




6. Использование средств криптографической защиты информации

Применение средств криптографической защиты информации направлено на обеспечение конфиденциальности и целостности информации, а также на подтверждение авторства электронных сообщений. Для достижения этих целей могут применяться комбинации следующих криптографических преобразований:

  • алгоритмы вычисления хеш сумм, или алгоритмы хеширования;
  • симметричные алгоритмы шифрования, или алгоритмы с секретным ключом;
  • асимметричные алгоритмы шифрования, или алгоритмы с открытым ключом.

Область применения криптографических преобразований:


Контроль аутентичности данных Контроль целостности данных Обеспечение конфиденциаль-
ности данных
Генерация ключевого материала Генерация случайных чисел
Хеш алгоритмы Да Да Нет Да Да

Асимметричные алгоритмы
Да Да Да Да Да
Симметричные алгоритмы Да Да Да Да Да


Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.58 Работы по
обеспечению
защиты информации
с помощью СКЗИ
проводятся в
соответствии
с Федеральным
законом от
6 апреля 2011 года N 63-ФЗ, Положением о разработке,
производстве,
реализации и
эксплуатации
шифровальных
(криптографических)
средств защиты
информации
(Положение ПКЗ-2005),
и технической
документацией
на СКЗИ
Да Да Да Да
П.59 При применении
СКЗИ российского
производителя,
указанные СКЗИ
должны иметь
сертификаты
уполномоченного
государственного
органа
Да Да Да 7.7.1
7.7.2
П.60 Применение СКЗИ, которые допускают встраивание в технологические процессы осуществления переводов денежных средств, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов Да Да Да 7.7.2
П.61 Применение СКЗИ,
которые
поставляются
разработчиками
с полным комплектом
эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения
Да Да Да 7.7.2
П.62 Применение СКЗИ, которые поддерживают непрерывность процессов протоколирования работы и обеспечения целостности программного обеспечения для среды функционирования, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований Да Да Да 7.7.4
П.63 -П.69 Определение во внутренних документах в случае использования СКЗИ:

  • порядок ввода в действие, включая процедуры встраивания СКЗИ в автоматизированные системы, используемые для осуществления переводов денежных средств;
  • порядок эксплуатации СКЗИ;
  • порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе;
  • порядок внесения изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ;
  • порядок снятия с эксплуатации СКЗИ;
  • порядок управления ключевой системой;
  • порядок обращения с носителями криптографических ключей
Да Да Да 7.7.7
П.70 Определение необходимости использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации Да



7. Обеспечение информационной безопасности при осуществлении переводов денежных средств



Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.71 Обеспечение учета и контроля состава установленного и (или) используемого на средствах вычислительной техники программного обеспечения Да Да Да 7.8.3
П.72 Определение порядка применения организационных мер защиты информации и (или) использования технических средств защиты информации, используемых при проведении операций обмена электронными сообщениями и другой информацией при осуществлении переводов денежных средств. Да 7.8.4
П.73 Обеспечение выполнения определенного порядка Да Да 7.8.4
П.74 Распоряжение клиента, распоряжение участника платежной системы и распоряжение платежного клирингового центра в электронном виде может быть удостоверено электронной подписью, а также в соответствии с пунктом 3 статьи 847 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1996, N 5, ст. 410) аналогами собственноручной подписи, кодами, паролями и иными средствами, позволяющими подтвердить составление распоряжения уполномоченным на это лицом Да Да Да
П.75 Обеспечение защиты электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации Да Да Да 7.8.8
П.76 Обеспечение контроля (мониторинга) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры Да Да Да 7.8.8
П.77 Обеспечение аутентификации входных электронных сообщений Да Да Да 7.8.8
П.78 Обеспечение взаимной (двусторонней) аутентификации участников обмена электронными сообщениями Да Да Да 7.8.8
П.79 Обеспечение восстановления информации об остатках денежных средств на банковских счетах, информации об остатках электронных денежных средств и данных держателей платежных карт в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники Да Да Да 7.8.8
П.80 Обеспечение сверки выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе Да Да Да 7.8.8
П.81 Выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации Да Да Да



8. Организация и функционирования подразделения (работников), ответственного за обеспечение информационной безопасности


Основные требования


№ п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
Оператор
по переводу
денежных средств
банковский
платежный
агент
(субагент)
оператор
услуг
платежной
инфра-
структуры
Оператор
платежной
системы
П.82 Формирова-
ние службы информацион-
ной безопасности,
а также определяют во внутренних документах цели
и задачи деятельности этой службы
Да Да (для юридичес-
кого лица)
Да 8.2.1
П.83 Предоставле-
ние полномочий и выделение ресурсов, необходимых для выполнения службой информацион-
ной безопасности установленных целей и задач
Да Да (для юридичес-
кого лица)
Да 8.2.1
П.84 Назначение куратора службы информацион-
ной безопасности из состава своего органа управления и определение его полномочий
Да Да 8.2.1
П.85 Служба информацион-
ной безопасности и служба информатиза-
ции (автоматизации) не должны иметь общего куратора
Да Да (для юридичес-
кого лица)
Да 8.2.1
П.86 Формирование служб информацион-
ной безопасности в указанных филиалах, определение для них необходимых полномочий и выделение необходимых ресурсы
Да(для операторов, имеющих филиалы) 8.2.1
П.87 Обеспечение взаимодействия и координации работ служб информацион-
ной безопасности
Да(для операторов, имеющих филиалы)
П.88 – П.92 Служба информацион-
ной безопасности осуществляет планирование и контроль обеспече-
ния защиты информации при осуществле-
нии переводов денежных средств, для чего наделяется следующими полномочиями:

  • осуществлять контроль (мониторинг) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств;
  • определять требования к техническим средствам защиты информации и организационным мерам защиты информации;
  • контролировать выполнение работниками требований к обеспечению защиты информации при осуществлении переводов денежных средств;
  • участвовать в разбирательствах инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и предлагать применение дисциплинарных взысканий, а также направлять предложения по совершенствованию защиты информации;
  • участвовать в действиях, связанных с выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых при восстановлении предоставления услуг платежной системы после сбоев и отказов в работе объектов информационной инфраструктуры
  • Да Да (для юридического лица) Да 8.2.2



    9. Повышение осведомленности работников
    и клиентов по вопросам обеспечения
    информационной безопасности



    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.93 Должно обеспечи-
    ваться повышение   осведомленности работников в области  обеспечения  защиты информации    по    порядку    применения организацион-
    ных мер защиты информации
    Да Да Да 8.9.1
    8.9.3
    П.94 Должно обеспечи-
    ваться повышение   осведомленности работников в области  обеспечения  защиты информации   по   порядку   использования технических средств защиты информации.
    Да Да Да 8.9.1
    8.9.3
    П.95 Должно обеспечи-
    ваться повышение осведомленности работников, получивших новую    роль, связанную с применением организацион-
    ных мер защиты информации или использованием технических средств защиты информации.
    Да Да Да 8.9.5
    П.96 Должно обеспечи-
    ваться доведение до клиентов информации о возможных  рисках  получения несанкционированного доступа к защищаемой информации с целью осуществления переводов денежных  средств лицами, не обладающими правом распоряжения этими денежными  средствами, и рекомендуемых мерах по их снижению.
    Да 7.4.9
    (Частично)

    7.4.10
    (Частично)

    7.8.9


    10. Управление инцидентами информационной безопасности



    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.97 Должны быть установлены требования  к  порядку,  форме  и  срокам информирования    оператора     платежной системы, операторов по переводу  денежных средств  и  операторов  услуг   платежной инфраструктуры о выявленных  в  платежной системе    инцидентах,    связанных с нарушениями  требований   к   обеспечению защиты информации при   осуществлении переводов денежных средств. Да 7.4.8 (Частично)
    П.98 Информирование    оператора     платежной системы о  выявленных инцидентах, связанных  с  нарушениями  требований   к обеспечению   защиты    информации    при осуществлении     переводов      денежных средств, должно осуществляется ежемесячно. Да Да
    П.99 Должны быть определены требования  к  взаимодействию   оператора платежной    системы,    операторов    по переводу денежных  средств  и  операторовуслуг платежной инфраструктуры  в  случае выявления     в     платежной     системе инцидентов,   связанных   с   нарушениями требований    к    обеспечению защиты информации  при  осуществлении  переводов денежных средств Да 7.4.8 (Частично)
    П.100 Оператор по переводу денежных  средств  и оператор услуг  платежной  инфраструктуры обеспечивают   выполнение   указанных   в подпункте 2.13.1 пункта  2.13  Положения 382-П требований. Да Да
    П.101 Должно обеспечиваться применение  организационных мер    защиты    информации    и    (или) использование технических средств  защиты информации,      предназначенных      для выявления   инцидентов,    связанных с нарушениями  требований   к   обеспечению защиты информации при   осуществлении переводов денежных средств. Да Да Да 8.10.1. (Частично)
    П.102 Должно быть обеспечено информирование службы информационной безопасности, в случае ее наличия, о выявлении инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств. Да Да Да
    П.103 Должно быть обеспечено реагирование  на  выявленные инциденты,   связанные   с    нарушениями требований    к    обеспечению     защиты информации  при  осуществлении  переводов денежных средств Да Да Да 8.10.1. (Частично)
    П.104 Должен быть обеспечен анализ  причин   выявленных инцидентов,   связанных   с   нарушениями требований    к    обеспечению     защиты информации  при  осуществлении  переводов денежных   средств,   проведение   оценки результатов   реагирования    на    такие инциденты Да Да Да 8.10.1. (Частично)
    П.105 Должен обеспечиваться учет  и  доступность  для  операторов  по переводу  денежных  средств,   являющихся участниками    платежной    системы,    и операторов        услуг         платежной инфраструктуры,     привлекаемых      для оказания услуг  платежной  инфраструктуры в   платежной   системе,   информации   о выявленных    в     платежной     системе инцидентах,   связанных   с   нарушениями требований    к    обеспечению     защиты информации  при  осуществлении  переводов денежных средств Да 8.10.2
    П.106 Должен обеспечиваться учет  и  доступность  для  операторов  по переводу  денежных  средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры, привлекаемых для оказания услуг платежной инфраструктуры в платежной системе, информации о методиках анализа и реагирования на инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств Да


    11. Определение и реализация порядка и правил обеспечения информационной безопасности



    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.107 Устанавливается
    распределение
    обязанностей
    по определению
    порядка
    обеспечения защиты
    информации при
    осуществлении
    переводов денежных
    средств путем:

  • самостоятельного
    определения порядка
    обеспечения защиты
    информации при
    осуществлении
    переводов денежных средств;
  • распределения
    обязанностей по
    определению  порядка 
    обеспечения защиты
    информации при осуществлении
    переводов денежных
    средств между
    оператором
    платежной системы,
    операторами услуг
    платежной
    инфраструктуры
    и  участниками
    платежной системы;
  • передачи функций
    по определению
    порядка
    обеспечения
    защиты информации
    при осуществлении переводов
    денежных  средств
    оператором платежной
    системы,
    не являющимся
    кредитной организацией,
    расчетному центру
  • Да
    П.108 Участники
    обеспечивают
    определение
    порядка
    обеспечения
    защиты информации
    при осуществлении
    переводов денежных
    средств в
    рамках
    распределения
    обязанностей,
    установленных
    оператором
    платежной
    системы
    Да Да Да
    П.109 Участники
    обеспечивают
    выполнение
    порядка
    обеспечения
    защиты
    информации при
    осуществлении
    переводов
    денежных средств
    Да Да
    П.110 Участники
    обеспечивают
    назначение лиц,
    ответственных
    за выполнение
    порядка
    обеспечения
    защиты информации
    при осуществлении
    переводов
    денежных средств
    Да Да 7.1.6
    П.111 Служба
    информационной
    безопасности
    осуществляет
    контроль
    (мониторинг)
    применения
    организационных
    мер защиты
    информации
    Да Да 8.2.1
    8.2.2
     
    П.112 Служба
    информационной
    безопасности
    осуществляет
    контроль
    (мониторинг)
    использования
    технических
    средств  защиты
    информации
    Да Да 8.2.1
    8.2.2
     



    12. Оценка выполнения требований по защите информации

    Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры по результатам оценки соответствия в целях ее документального подтверждения формируют отчет, который утверждается исполнительными органами управления и хранится в порядке, установленном соответствующим оператором. Отчет включает сведения о проведении оценки соответствия, в том числе:

    • заполненную форму 1, установленную приложением 1 к Положению 382-П и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • заполненную форму 2, установленную приложением 1 к Положению 382-П и содержащую оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
    • сроки проведения оценки соответствия;
    • сведения о сторонней организации (наименование и местонахождение) в случае ее привлечения оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры для проведения оценки соответствия.


    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.113 Обеспечивается проведение       оценки соответствия не реже одного раза в два года, а также по требованию Банка России Да Да Да


    Консалтинговые услуги




    13. Доведение до заинтересованных сторон информации об обеспечении информационной безопасности



    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.114 Установление требований к содержанию, форме и категории периодичности представления информации, направляемой операторами по переводу  денежных средств и операторами услуг  платежной инфраструктуры оператору  платежной системы для целей анализа  обеспечения в платежной системе защиты  информации при осуществлении переводов денежных средств Да

    7.8.8

    7.8.11

    8.1.4

    8.6.8

    8.15

    8.16

    9.5

    П.115 Выполнения требований, установленных оператором платежной системы, к содержанию, форме и периодичности представления информации, направляемой оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств. Да Да

    7.8.11

    8.6.8

    8.15.3

    8.16.1

    П.116 Направление информации оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включая информацию о степени выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств Да

    Да

    за исключением операционных центров, находящихся за пределами Российской Федерации

    7.8.11

    8.16.1

    П.117 Направление информации оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включая информацию о реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств Да

    Да

    за исключением операционных центров, находящихся за пределами Российской Федерации

    7.8.11

    8.16.1

    П.118 Направление информации оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включая информацию о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств Да

    Да

    за исключением операционных центров, находящихся за пределами Российской Федерации

    7.8.11

    8.10.1

    8.10.3

    8.16.1

    П.119 Направление информации оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включая информацию о результатах проведенных оценок соответствия Да

    Да

    за исключением операционных центров, находящихся за пределами Российской Федерации

    7.8.11

    8.16.1

    П.120 Направление информации оператору платежной системы для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств, включая информацию о выявленных угрозах и уязвимостях в обеспечении защиты информации Да

    Да

    за исключением операционных центров, находящихся за пределами Российской Федерации

    7.8.11

    8.13.5

    8.14.5

    8.16.1



    14. Совершенствование оператором платежной системы, оператором по переводу денежных средств



    Основные требования


    № п/п Требование Субъект платежной системы Соответствие требованиям СТО БР ИББС-1.0
    Оператор
    по переводу
    денежных средств
    банковский
    платежный
    агент
    (субагент)
    оператор
    услуг
    платежной
    инфра-
    структуры
    Оператор
    платежной
    системы
    П.121 Регламен-
    тирование пересмотра порядка обеспечения защиты информации при осуществлении переводов денежных средств в рамках обязанностей, установленных оператором платежной системы, в связи с изменениями требований к защите информации, определенных правилами платежной системы
    Да Да Да

    8.1.5

    8.6.4

    8.15.1

    8.15.2

    8.18.1

    8.18.2

    П.122 Регламен-
    тирование пересмотра порядка обеспечения защиты информации при осуществлении переводов денежных средств в рамках обязанностей, установленных оператором платежной системы, в связи с изменениями, внесенными в законодательные акты Российской Федерации, нормативные акты Банка России, регулирующие отношения в национальной платежной системе
    Да Да Да

    8.1.5

    8.6.4

    8.15.1

    8.15.2

    8.18.1

    8.18.2

    П.123 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях изменения  требований к защите информации, определенных правилами платежной системы
    Да Да

    8.1.5

    8.6.4

    8.15.1

    8.15.2

    8.17

    8.18

    П.124 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях изменений, внесенных в законодательные акты Российской Федерации, нормативные акты Банка России, регулирующих отношения в национальной платежной системе
    Да Да

    8.1.5

    8.6.4

    8.15.1

    8.15.2

    8.17

    8.18

    П.125 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях изменения порядка обеспечения защиты информации при осуществлении переводов денежных средств
    Да Да

    8.1.5

    8.6.4

    8.15.1

    8.15.2

    8.17

    8.18

    П.126 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях выявления угроз, рисков и уязвимостей в обеспечении защиты информации при осуществлении переводов денежных средств
    Да Да

    8.1.5

    8.5

    8.6.4

    8.15.1

    8.15.2

    8.17

    8.18

    П.127 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях выявления недостатков при осуществлении контроля (мониторинга) выполнения порядка обеспечения защиты информации при осуществлении переводов денежных средств
    Да Да

    8.1.5

    8.6.4

    8.12

    8.15

    8.15.1

    8.15.2

    8.17

    8.18

    П.128 Регламен-
    тирование порядка принятия мер, направленных на совершенство-
    вание защиты информации при осуществлении переводов денежных средств, в случаях выявления недостатков при проведении оценки соответствия
    Да Да

    8.1.5

    8.6.4

    8.13

    8.14

    8.15.

    8.17

    8.18

    П.129 Принятие
    решений по совершенство-
    ванию защиты информации при осуществлении переводов денежных средств согласуется со службой информацион-
    ной безопасности
    Да Да

    8.1.5

    8.2.2

    8.6.4

    8.15.1

    8.15.2

    8.17.4