Банк России установил обязательные требования к обеспечению защиты информации при осуществлении банковской деятельности

Положение №683-П об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента утверждено Банком России 17 апреля 2019 года.

Требования применяются для обеспечения защиты подготавливаемой, обрабатываемой и хранимой в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления банковских операций, связанных с осуществлением перевода денежных средств (п.1) информации:

• Содержащейся в документах, составленных при осуществлении банковских операций в электронном виде (электронные сообщения), формируемых работниками кредитных организаций и (или) клиентами кредитных организаций;


• Необходимой для авторизации клиентов при совершении действий в целях осуществления банковских операций и удостоверения права клиентов распоряжаться денежными средствами;


• Об осуществленных банковских операциях, а также


• Ключевой информации средств криптографической защиты информации (СКЗИ), используемой при осуществлении банковских операций (криптографические ключи).

В случае, если защищаемая информация содержит персональные данные, кредитные организации должны применять меры по обеспечению безопасности ПДн при их обработке в соответствии со статьей 19 федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных».

Требования к обеспечению защиты информации при осуществлении банковской деятельности включают в себя (п.2):

• Требования, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций (объекты информационной инфраструктуры) (п.3);


• Требования, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений (п.4);


• Требования, применяемые в отношении технологии обработки защищаемой информации (п.5);


• Иные требования к обеспечению защиты информации.

Кредитные организации должны обеспечивать выполнение следующих требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, применяемых в отношении технологии обработки защищаемой информации (п.5).

Кредитные организации должны обеспечивать подписание электронных сообщений способом, позволяющим обеспечить целостность и подтвердить составление указанного электронного сообщения уполномоченным на это лицом (п.5.1).

Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона от 6 апреля 2011 года №63-ФЗ «Об электронной подписи».

Кредитные организации должны обеспечивать регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации, при совершении следующих действий (технологические участки) (п.5.2):

• Идентификация, аутентификация и авторизация клиентов при совершении действий в целях осуществления банковских операций;


• Формирование (подготовка), передача и прием электронных сообщений;


• Удостоверение права клиентов распоряжаться денежными средствами;


• Осуществление банковской операции, учет результатов ее осуществления;


• Хранение электронных сообщений и информации об осуществленных банковских операциях.

Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения (п.5.2.3):

• Дата (день, месяц, год) и время (часы, минуты, секунды) осуществления банковской операции;


• Присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;


• Код, соответствующий технологическому участку;


• Результат осуществления банковской операции (успешная или неуспешная);


• Идентификационная информация, используемая для адресации устройства, с использованием которого и в отношении которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора).

Регистрации подлежат данные о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения (п.5.2.4):

• Дата (день, месяц, год) и время (часы, минуты, секунды) совершения действий клиентом в целях осуществления банковской операции;


• Присвоенный клиенту идентификатор, позволяющий установить клиента в автоматизированной системе, программном обеспечении;


• Код, соответствующий технологическому участку;


• Результат совершения клиентом действия в целях осуществления банковской операции (успешная или неуспешная);


• Идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления банковских операций (сетевой адрес компьютера и (или) коммуникационного устройства (маршрутизатора), международный идентификатор абонента (индивидуальный номер абонента клиента - физического лица), международный идентификатор пользовательского оборудования (оконечного оборудования) клиента - физического лица, номер телефона и (или) иной идентификатор устройства).

Кредитные организации должны обеспечивать хранение следующей информации (п.5.2.5):

• Информации, содержащейся в документах, составленных при осуществлении банковских операций в электронном виде, формируемых работниками кредитных организаций и (или) клиентами кредитных организаций;


• Информации об осуществленных банковских операциях;


• Данных о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения;


• Информации о событиях, которые привели или могут привести к осуществлению банковских операций без согласия клиента, неоказанию услуг, связанных с осуществлением банковских операций, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети «Интернет».

Кредитные организации должны обеспечивать целостность и доступность этой информации не менее пяти лет начиная с даты ее формирования (поступления).

Мой комментарий: Сроки хранения установлены для электронной информации.

Криптографические ключи должны изготавливаться клиентом (самостоятельно) и (или) кредитной организацией (п.6.2).

Кредитные организации должны обеспечивать регистрацию инцидентов защиты информации (п.8). По каждому инциденту они должны обеспечивать регистрацию:

• Защищаемой информации, обрабатываемой на технологическом участке (участках), на котором (которых) произошел несанкционированный доступ к ней;


• Результата реагирования на инцидент, в том числе действий по возврату денежных средств или электронных денежных средств.

Кредитные организации должны осуществлять информирование Банка России:

• О выявленных инцидентах защиты информации, включенных в перечень типов инцидентов;


• О планируемых мероприятиях по раскрытию информации об инцидентах, включая размещение информации на официальных сайтах, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до дня проведения мероприятия.

Кредитные организации также должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией (п.9.2).

Источник: Консультант  Плюс
http://www.consultant.ru/document/cons_doc_LAW_324968/