Требования к обеспечению защиты информации для участников платформы цифрового рубля

Банк России положением от 07.12.2023 №833-П утвердил «Требования к обеспечению защиты информации для участников платформы цифрового рубля», вместе с:

• Требованиями к обеспечению защиты информации, применяемые в отношении технологии обработки и передачи электронных сообщений при осуществлении операций с цифровыми рублями;
  
  
• Требованиями к обеспечению защиты информации, применяемые в отношении приложения клиента.

Требования распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых осуществляется участниками платформы и которые используются при формировании (подготовке), обработке, передаче и хранении следующей защищаемой информации (объекты информационной инфраструктуры) (п.2):

• Информации, содержащейся в документах, составленных при осуществлении операций с цифровыми рублями, формируемых участниками, пользователями и оператором платформы цифрового рубля;
  
  
• Информации, необходимой для идентификации, аутентификации и авторизации пользователей при совершении действий в целях осуществления операций с цифровыми рублями;
  
  
• Информации о предоставлении, приостановлении, возобновлении или прекращении доступа к платформе, о счете цифрового рубля, об остатке цифровых рублей на счете, а также о совершенных операциях с ними;
  
  
• Информации об исполненных и планируемых к исполнению сделках, содержащих условия, предусмотренные частью второй статьи 309 Гражданского кодекса РФ;
  
  
• Ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых для обеспечения криптографической защиты операций с цифровыми рублями (далее - криптографические ключи);
  
  
• Информации о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации.

Участники платформы должны определить во внутренних документах в том числе (п.5) порядок подготовки, обработки, передачи и хранения сообщений в электронном виде, связанных с осуществлением операций с цифровыми рублями (электронные сообщения), и защищаемой информации с использованием объектов информационной инфраструктуры.

Участники платформы должны обеспечивать защиту электронных сообщений в соответствии с альбомом электронных сообщений (п.7)

Участники платформы должны хранить электронные сообщения, подписанные электронной подписью и средства, обеспечивающие проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений в соответствии со сроками хранения документов из перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения (п.10).

При обмене электронными сообщениями между участником платформы и пользователем платформы цифрового рубля участник платформы должен обеспечивать защиту электронных сообщений с применением электронной подписи с соблюдением ряда требований (п.13).

Участник платформы должен применять организационные меры и/или технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении операций с цифровыми рублями, с соблюдением ряда требований (п.14).

Участники платформы должны хранить отчет, подготовленный проверяющей организацией по результатам проведения оценки соответствия, не менее пяти лет начиная с даты его выдачи проверяющей организацией в соответствии со сроками хранения документов из перечня документов, образующихся в процессе деятельности кредитных организаций, с указанием сроков их хранения (п.17).

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=466415