Вы можете открыть актуальную версию документа прямо сейчас.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Глава 5. Требования к обеспечению операторами платежных систем защиты информации при осуществлении переводов денежных средств
5.1. Операторы платежных систем в целях реализации требований к обеспечению защиты информации должны определить порядок обеспечения защиты информации в платежной системе в соответствии с пунктом 11 части 3 статьи 28 Федерального закона от 27 июня 2011 года N 161-ФЗ, при определении которого участники платежной системы должны реализовать следующие мероприятия:
установление состава и пороговых значений показателей уровня риска информационной безопасности участника платежной системы;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры механизмов, направленных на соблюдение требований к обеспечению защиты информации при осуществлении переводов денежных средств, и контроль их соблюдения операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов выявления и идентификации риска информационной безопасности участника платежной системы, а также его оценки;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры процессов реагирования на инциденты защиты информации и восстановления штатного функционирования объектов информационной инфраструктуры в случае реализации инцидентов защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры взаимодействия при обмене информацией об инцидентах защиты информации;
реализация операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента, определенных пунктами 3.2 и 3.4 Указания Банка России от 9 января 2023 года N 6354-У "О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента" 1.
------------------------------
1 Зарегистрировано Минюстом России 25 мая 2023 года, регистрационный N 73472.
------------------------------
5.2. Операторы платежных систем должны определить мероприятия по контролю за соблюдением установленных пороговых значений показателей уровня риска информационной безопасности участника платежной системы и реализации процессов применения в отношении операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры ограничений по параметрам операций по осуществлению переводов денежных средств в случае выявления факта превышения пороговых значений показателей уровня риска информационной безопасности участника платежной системы, в том числе условий снятия таких ограничений.
5.3. Операторы платежных систем в целях снижения риска информационной безопасности участника платежной системы должны совершенствовать механизмы реализации требований, указанных в пункте 5.5 настоящего Положения, предусматривающих в том числе накопление и учет опыта реагирования на инциденты защиты информации и восстановления функционирования платежной системы после их реализации.
5.4. Операторы платежных систем должны установить требования к содержанию, форме и периодичности направления операторами по переводу денежных средств, являющимися участниками платежной системы, и операторами услуг платежной инфраструктуры оператору платежной системы информации для целей анализа обеспечения в платежной системе защиты информации при осуществлении переводов денежных средств.
Операторы национально значимых платежных систем должны уведомлять федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности, в соответствии с требованиями, установленными федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, об установленных ими требованиях к содержанию, форме и периодичности направления указанной в абзаце первом настоящего пункта информации в части применения СКЗИ.
5.5. Операторы платежных систем должны обеспечить учет и доступность для операторов по переводу денежных средств, являющихся участниками платежной системы, и операторов услуг платежной инфраструктуры информации:
о выявленных в платежной системе инцидентах защиты информации;
о способах реагирования на инциденты защиты информации.
5.6. Операторы значимых платежных систем должны обеспечить использование:
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих криптографические алгоритмы, не определенные национальными стандартами Российской Федерации (далее - иностранные криптографические алгоритмы), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
Абзацы третий - пятый пункта 5.6 вступают в силу с 1 января 2031 г.
в аппаратных модулях безопасности информационной инфраструктуры платежной системы СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы, определенные национальными стандартами Российской Федерации (далее - криптографические алгоритмы Российской Федерации), имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности;
СКЗИ, реализующих иностранные криптографические алгоритмы и криптографические алгоритмы Российской Федерации, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в иных технических средствах информационной инфраструктуры платежной системы, используемых при осуществлении переводов денежных средств, по согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, в соответствии с пунктом "ш" части первой статьи 13 Федерального закона от 3 апреля 1995 года N 40-ФЗ "О федеральной службе безопасности".
В целях обеспечения бесперебойности функционирования информационной инфраструктуры платежной системы и ее устойчивости к внешним воздействиям операторам национально значимых платежных систем необходимо определять долю технических средств информационной инфраструктуры национально значимой платежной системы, в которых обеспечивается использование СКЗИ, указанных в абзаце четвертом настоящего пункта, на основании требований, устанавливаемых Указанием Банка России от 25 июля 2014 года N 3342-У "О требованиях к информационным технологиям, используемым операторами услуг платежной инфраструктуры, для целей признания платежной системы национально значимой платежной системой" 1.
------------------------------
1 Зарегистрировано Минюстом России 9 октября 2014 года, регистрационный N 34269.
------------------------------
Операторы по переводу денежных средств, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры для обеспечения защиты информации при осуществлении переводов денежных средств вправе использовать СКЗИ иностранного производства в случаях, не противоречащих требованиям, установленным в абзацах втором - четвертом настоящего пункта.
Разработка и эксплуатация СКЗИ, указанных в абзацах втором - четвертом настоящего пункта, должны проводиться в соответствии с Положением ПКЗ-2005.
5.7. Операторы платежных систем в составе требований к обеспечению защиты информации в платежной системе должны определять порядок проведения работ по разработке, сертификации и (или) оценке соответствия в отношении прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения, в том числе платежных приложений, предоставляемых поставщиками платежных приложений клиентам операторов по переводу денежных средств, являющихся участниками данной платежной системы.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.