Глава 2. Требования к обеспечению операторами по переводу денежных средств, поставщиками платежных приложений (при их привлечении операторами по переводу денежных средств) защиты информации при осуществлении переводов денежных средств. Положение Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств"

Глава 2. Требования к обеспечению операторами по переводу денежных средств, поставщиками платежных приложений (при их привлечении операторами по переводу денежных средств) защиты информации при осуществлении переводов денежных средств

2.1. Операторы по переводу денежных средств должны выполнять требования к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением переводов денежных средств, в соответствии с Положением Банка России от 17 апреля 2019 года N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента" ¹ (далее - Положение Банка России от 17 апреля 2019 года N 683-П).

------------------------------

¹ Зарегистрировано Минюстом России 16 мая 2019 года, регистрационный N 54637, с изменениями, внесенными Указанием Банка России от 18 февраля 2022 года N 6071-У (зарегистрировано Минюстом России 20 июня 2022 года, регистрационный N 68919).

------------------------------

2.2. Операторы по переводу денежных средств в целях реализации требований к обеспечению защиты информации должны обеспечить защиту следующей защищаемой информации:

указанной в пункте 1 Положения Банка России от 17 апреля 2019 года N 683-П;

об остатках денежных средств на банковских счетах клиентов операторов по переводу денежных средств;

об остатках электронных денежных средств клиентов операторов по переводу денежных средств;

о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, технических средств защиты информации.

2.3. Операторы по переводу денежных средств должны обеспечивать проведение оценки соответствия защиты информации не реже одного раза в два года.

2.4. Операторы по переводу денежных средств должны обеспечивать уровень соответствия защиты информации не ниже четвертого, предусмотренного подпунктом "д" пункта 6.9 раздела 6 ГОСТ Р 57580.2-2018.

2.5. Операторы по переводу денежных средств, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложение, а также отдельного программного обеспечения не ниже 4 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76 ¹.

------------------------------

¹ Зарегистрирован Минюстом России 11 сентября 2020 года, регистрационный N 59772, с изменениями, внесенными приказом ФСТЭК России от 18 апреля 2022 года N 68 (зарегистрирован Минюстом России 20 июля 2022 года, регистрационный N 69318).

------------------------------

Операторы по переводу денежных средств, не указанные в абзаце первом настоящего пункта, в случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения должны обеспечить сертификацию прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения не ниже 5 уровня доверия в соответствии с приказом Федеральной службы по техническому и экспортному контролю от 2 июня 2020 года N 76.

2.6. Операторы по переводу денежных средств должны установить порядок их информирования привлекаемыми ими банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных ими инцидентах защиты информации. Операторы по переводу денежных средств по запросу Банка России должны направлять в Банк России сведения об инцидентах защиты информации, полученные от привлекаемых ими банковских платежных агентов (субагентов), операторов услуг информационного обмена.

2.7. Операторы по переводу денежных средств в случаях, предусмотренных договорами с клиентами, содержащими условия указанного в части 1 статьи 9 Федерального закона от 27 июня 2011 года N 161-ФЗ договора об использовании электронного средства платежа, устанавливают в отношении операций по осуществлению переводов денежных средств, осуществляемых с использованием сети "Интернет", указанные в заявлениях клиентов ограничения по параметрам операций, в том числе ограничения, указанные в пункте 2.10 настоящего Положения.

2.8. При осуществлении переводов денежных средств с использованием сети "Интернет" и размещении программного обеспечения, используемого клиентами операторов по переводу денежных средств при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых операторами по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, операторы по переводу денежных средств должны реализовать технологические меры и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств на основании заявлений клиентов в отношении операций по осуществлению переводов денежных средств, в том числе в соответствии с частью 9 статьи 20 Федерального закона от 27 июня 2011 года N 161-ФЗ.

2.9. Технологические меры, указанные в пункте 2.8 настоящего Положения, должны предусматривать:

механизмы идентификации и аутентификации клиента оператора по переводу денежных средств при формировании (подготовке) и при подтверждении им электронных сообщений в соответствии с законодательством Российской Федерации;

механизмы двухфакторной аутентификации клиента оператора по переводу денежных средств при совершении им действий в целях осуществления переводов денежных средств;

механизмы и (или) протоколы формирования и обмена электронными сообщениями, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификацию входных электронных сообщений;

взаимную (двухстороннюю) аутентификацию участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ, клиентов операторов по переводу денежных средств;

возможность использования клиентом оператора по переводу денежных средств независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;

возможность контроля клиентом оператора по переводу денежных средств реквизитов распоряжений о переводе денежных средств при формировании (подготовке) электронных сообщений (пакета электронных сообщений) и их подтверждении;

возможность установления временных ограничений на выполнение клиентом оператора по переводу денежных средств подтверждения электронных сообщений;

функции передаваемого клиенту оператора по переводу денежных средств программного обеспечения, используемого при осуществлении переводов денежных средств и предназначенного для установки на мобильные устройства клиента оператора по переводу денежных средств, связанные с выявлением модификации мобильного устройства клиента оператора по переводу денежных средств с использованием недекларируемых возможностей, в том числе деактивации (отключения) механизма разграничения доступа (далее - недекларируемая модификация мобильного устройства клиента), а также уведомлением клиента оператора по переводу денежных средств о случаях недекларируемой модификации мобильного устройства клиента с указанием рисков использования такого устройства (при наличии технической возможности реализации соответствующих функций).

2.10. При реализации ограничений по параметрам операций по осуществлению переводов денежных средств применяются ограничения на:

максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;

перечень возможных получателей денежных средств;

временной период, в который могут быть совершены переводы денежных средств;

географическое местоположение устройств, с использованием ко