- Главная
- Положение Банка России от 7 декабря 2023 г. N 833-П "О требованиях к обеспечению защиты информации для участников платформы цифрового рубля"
- Приложение 2. Требования к обеспечению защиты информации, применяемые в отношении приложения клиента
Приложение 2. Требования к обеспечению защиты информации, применяемые в отношении приложения клиента
Приложение 2
к Положению Банка России
от 7 декабря 2023 г. N 833-П
"О требованиях к обеспечению защиты
информации для участников платформы
цифрового рубля"
Требования к обеспечению защиты информации, применяемые в отношении приложения клиента
1. Участник платформы для обеспечения безопасности приложения клиента должен выполнять следующие требования к процессу разработки, тестирования и эксплуатации приложения клиента:
иметь документированный процесс разработки, тестирования и эксплуатации приложения клиента, включая описания реализуемых мер, контролей и проверок по обеспечению защиты информации, а также процесс управления версиями и изменениями программного обеспечения, реализующего приложение клиента;
применять меры защиты информации в соответствии с подпунктами 4.1 и 4.2 пункта 4 настоящего Положения для объектов информационной инфраструктуры, с использованием которых обеспечиваются эксплуатация и функционирование приложения клиента.
2. Участник платформы должен выполнять следующие требования к безопасности приложения клиента:
реализовать механизм доставки пользователю платформы цифрового рубля уведомлений об операциях с цифровыми рублями;
реализовать механизм обработки ошибок и (или) исключений, возникающих в процессе работы приложения клиента, в рамках которого обеспечиваются корректная обработка и информирование пользователя платформы цифрового рубля об ошибках, в том числе о сбоях при подключении к приложению клиента, недоступности приложения клиента;
реализовать механизм проверки корректности данных, вводимых пользователем платформы цифрового рубля в приложении клиента;
регистрировать события защиты информации (в том числе события, связанные с неуспешной аутентификацией и авторизацией, ошибками при управлении доступом и проверке входных данных) при функционировании приложения клиента;
реализовать механизм незамедлительной блокировки и последующего досрочного прекращения действия или аннулирования сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля в случае компрометации ключа электронной подписи;
досрочно прекратить действие сертификата ключа проверки электронной подписи пользователя платформы цифрового рубля - юридического лица и сменить аутентификационные данные для доступа пользователя платформы цифрового рубля - юридического лица к приложению клиента при обращении пользователя платформы цифрового рубля - юридического лица к участнику платформы.
3. Участник платформы вправе принимать организационно-технические меры, направленные на соответствие требованиям к безопасности мобильного приложения, в том числе в части наличия возможности:
реализации механизма информирования пользователя платформы цифрового рубля о необходимости применения обновлений мобильного приложения, связанных с обеспечением защиты информации;
реализации альтернативных способов обновления и (или) установки мобильного приложения в случае наличия ограничений обновления и (или) установки мобильного приложения из основного источника;
реализации механизма, исключающего возможность использования сторонних программных средств ввода и отключения механизма регистрации истории ввода при вводе данных пользователя платформы цифрового рубля, в том числе аутентификационных данных пользователя платформы цифрового рубля;
обеспечения контроля целостности прикладного программного обеспечения и контроля среды его функционирования при запуске мобильного приложения до момента обращения пользователя платформы цифрового рубля к его функционалу;
реализации механизма блокировки доступа к мобильному приложению при неоднократных неуспешных попытках аутентификации.
Открыть документ в системе ГАРАНТ