четверг, 14 мая 2015 г.

Обеспечение защиты информации при осуществлении денежных переводов через Интернет


Указанием Банка России от 14 августа 2014 № 3361-У внесены изменения в «Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», которые вступили в силу 16 марта 2015 года.

Требования к обеспечению защиты информации при осуществлении переводов денежных средств установлены при применении (п.2.2):
  • Банкоматов и платежных терминалов;

  • Платежных карт.
В число требований к обеспечению защиты информации при осуществлении переводов денежных средств с использованием сети Интернет включены следующие (п.2.8):

Оператор по переводу денежных средств обеспечивает идентификацию, аутентификацию и авторизацию клиента при составлении, удостоверении и передаче распоряжений, в частности, в следующих системах (системы Интернет-банкинга) (п. 2.8.2):
  • На сайтах, используемых клиентом на основании договора с оператором в целях формирования и передачи распоряжений о переводе денежных средств;

  • В системах клиент-серверной архитектуры, передающих информацию через сеть Интернет и используемых клиентом в целях формирования и передачи распоряжений о переводе денежных средств (за исключением банкоматов, платежных терминалов и электронных устройств, предназначенных для совершения операций с использованием платежных карт и конструкция которых не предусматривает прием и/или выдачу наличных).
Оператор принимает и фиксирует во внутренних документах решения о необходимости использования пароля многоразового действия и одноразового кода подтверждения в целях аутентификации клиента при осуществлении переводов денежных средств с использованием системы, а также при подтверждении клиентом права доступа к системе.

В случае принятия соответствующего решения, оператор формирует и доводит до клиента информацию, необходимую для генерации одноразового кода подтверждения. Одноразовый код подтверждения:
  • Действителен на протяжении ограниченного периода времени, установленного оператором по переводу денежных средств;

  • Используется для подтверждения клиентом права доступа к системе или для подтверждения распоряжения (нескольких распоряжений) о разовом переводе (разовых переводах) денежных средств или распоряжения о периодических переводах денежных средств в определенную дату и/или период, при наступлении определенных распоряжением (договором) условий;

  • Однозначно соответствует сеансу использования системы или распоряжению (распоряжениям, договору), подтверждаемому (подтверждаемым) клиентом с использованием системы;

  • Доводится до клиента по альтернативному каналу связи, или входит в набор возможных одноразовых кодов подтверждения, который доводится до клиента оператором по переводу денежных средств на материальном носителе, или создается клиентом с использованием технического средства, предназначенного для генерации одноразовых кодов подтверждения.
Оператор принимает и фиксирует во внутренних документах решения о необходимости направления клиенту по альтернативному каналу связи сообщения, содержащего сведения о сформированном с использованием системы распоряжении о переводе денежных средств, включая сумму и получателя денежных средств, до подтверждения клиентом указанного распоряжения с использованием одноразового кода подтверждения.

Оператор на основании заявления клиента определяет параметры операций, которые могут осуществляться клиентом с использованием системы, в том числе устанавливает (п.2.8.9):
  • Максимальную сумму перевода денежных средств с использованием системы за одну операцию и/или за определенный период времени (например, один день, один месяц);

  • Перечень возможных получателей денежных средств, в адрес которых могут быть совершены переводы денежных средств с использованием системы;

  • Перечень устройств, с использованием которых может осуществляться доступ к системе с целью осуществления переводов денежных средств, на основе идентификаторов указанных устройств;

  • Перечень услуг, предоставляемых с использованием системы;

  • Временной период, в который могут быть совершены переводы денежных средств с использованием системы.
Оператор обеспечивает доведение до клиентов информации о возможных рисках получения несанкционированного доступа к защищаемой информации с целью осуществления переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, и рекомендуемых мерах по их снижению, в том числе информации о (п. 2.12.3):
  • Рекомендуемых мерах по предотвращению несанкционированного доступа к защищаемой информации, в том числе при утрате (потере, хищении) устройства, с использованием которого клиентом осуществлялся перевод денежных средств;

  • Рекомендуемых мерах по контролю конфигурации устройства, с использованием которого клиентом осуществляется перевод денежных средств, и своевременному обнаружению воздействия вредоносного кода;

  • Появлении в сети Интернет ложных (фальсифицированных) ресурсов и программного обеспечения, имитирующих программный интерфейс используемых оператором по переводу денежных средств систем Интернет-банкинга, и/или использующих зарегистрированные товарные знаки и наименование оператора по переводу денежных средств, и рекомендуемых мерах по обнаружению указанных ресурсов и программного обеспечения.
В состав требований к обеспечению защиты информации при осуществлении переводов денежных средств с применением банкоматов и платежных терминалов включаются следующие (п.2.18):

Оператор определяет во внутренних документах порядок работы с заявлениями клиентов о выявленных событиях, связанных с нарушением обеспечения защиты информации при осуществлении переводов денежных средств с применением ТУ ДБО, и обеспечивает выполнение указанного порядка (п.2.18.4).

Оператор осуществляет переводы денежных средств с применением расчетных (дебетовых), кредитных карт (п.2.19):
  • Оснащенных микропроцессором, оснащенных микропроцессором и магнитной полосой, выданных кредитными организациями на территории РФ, срок действия которых начинается после 1 июля 2015 года;

  • Оснащенных магнитной полосой и/или микропроцессором, выданных кредитными организациями на территории РФ, срок действия которых начинается до 1 июля 2015 года.
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=168746 

Комментариев нет:

Отправить комментарий