Вход
Проект указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 года N 821-П" (по состоянию на 12 августа 2024 г.)
На основании части 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе":
1. Внести в Положение Банка России от 17 августа 2023 года N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" 1 следующие изменения:
1.1. В пункте 1.1:
абзац пятый изложить в следующей редакции:
"Оценка соответствия защиты информации должна осуществляться с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации для проведения работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года N 79, а также имеющих подтверждение соответствия требованиям национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 17021-1-2017 "Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 4 июля 2017 года N 640-ст "Об утверждении национального стандарта Российской Федерации" (М, ФГУП "Стандартинформ", 2017), в части проведения оценки систем обеспечения информационной безопасности (далее - проверяющая организация).";
дополнить абзацем седьмым следующего содержания:
"В случае если в отношении объектов информационной инфраструктуры операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, операторов электронных платформ действуют требования, установленные на основании статей 57.4, 76.4-1 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", и операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ применяют один контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017 для выполнения требований различных нормативных актов Банка России, устанавливающих требования к обеспечению защиты информации, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ обязаны реализовать наиболее высокий из требуемых различными нормативными актами Банка России уровней защиты информации.".
1.2. Пункт 1.2 дополнить абзацами шестым - седьмым следующего содержания:
"Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, должны обеспечивать проведение сертификации или оценки соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения при каждом внесении изменений в исходный текст программного обеспечения и приложений, реализующий технологию обработки информации в соответствии с пунктом 1.3 настоящего Положения, а также технологические меры в соответствии с пунктами 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.
Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, вправе не проводить сертификацию или оценку соответствия прикладного программного обеспечения автоматизированных систем и приложений, а также отдельного программного обеспечения в отношении разрабатываемых ими программного обеспечения и приложений (за исключением прикладного программного обеспечения, взаимодействующего со средствами криптографической защиты информации (далее - СКЗИ)), если имеют заключение проверяющей организации о том, что реализуемые операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ, указанными в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, процессы разработки программного обеспечения и приложений включают меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений.".
1.3. Главу 1 дополнить пунктом 1.3 1 следующего содержания:
"1.3 1. Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, должны проводить оценку выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, операторов электронных платформ.
Операторы по переводу денежных средств, операторы услуг платежной инфраструктуры, являющиеся кредитными организациями, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 4.3 и 5.3 порядка составления и представления отчетности по форме 0409071 "Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации", установленного Указанием Банка России от 10.04.2023 N 6406-У "О формах, сроках, порядке составления и представления отчетности кредитных организаций (банковских групп) в Центральный банк Российской Федерации, а также о перечне информации о деятельности кредитных организаций (банковских групп)".
Операторы услуг платежной инфраструктуры, не являющиеся кредитными организациями, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 2.2 и 3.2 методики составления отчетности по форме 0403202 "Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра", установленной Указанием Банка России от 27.06.2023 N 6470-У "О формах, методиках составления, порядке и сроках представления отчетности оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств в Центральный банк Российской Федерации".
Операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, при проведении оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений должны осуществлять расчет показателей оценки выполнения требований к технологическим мерам защиты информации и прикладному программному обеспечению автоматизированных систем и приложений в отношении видов оценки соответствия, указанных в пунктах 3 и 4 порядка составления отчетности (отчета) по форме 0420722 "Сведения об оценке выполнения требований к обеспечению защиты информации оператором инвестиционной платформы, оператором финансовой платформы, оператором информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и оператором обмена цифровых финансовых активов", установленного Указанием Банка России от 21.09.2022 N 6243-У "О порядке и сроках составления и представления в Банк России отчетов операторов инвестиционных платформ, отчетности операторов финансовых платформ, операторов информационных систем, в которых осуществляется выпуск цифровых финансовых активов, и операторов обмена цифровых финансовых активов, форме отчетов операторов инвестиционных платформ и составе включаемых в них сведений, составе и формах отчетности операторов финансовых платформ".
1.4. Подпункт 1.4.2 пункта 1.4 дополнить абзацами седьмым - одиннадцатым следующего содержания:
"Регистрации подлежат данные о действиях клиентов операторов по переводу денежных средств, выполняемых на технологическом участке идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) начала соединения и окончания соединения сессии транспортного уровня в соответствии с эталонной моделью взаимосвязи открытых систем, предусмотренной пунктом 1.7 раздела 1 государственного стандарта Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", принятого постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 и введенного в действие 1 января 2000 года, при авторизации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией;
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией (сетевой адрес и транспортный адрес (порт) компьютера и (или) коммуникационного устройства (маршрутизатора), предусмотренные разделом 11 государственного стандарта Российской Федерации ГОСТ Р ИСО 7498-3-97 "Информационная технология. Взаимосвязь открытых систем базовая эталонная модель. Часть 3. Присвоение имен и адресация", принятого постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 19 августа 1997 года N 286 и введенного в действие 1 июля 1998 года (далее - ГОСТ Р ИСО 7498-3-97);
идентификационная информация, используемая для адресации автоматизированной системы, программного обеспечения, к которым осуществлен доступ с целью совершения действий с защищаемой информацией (сетевой адрес и транспортный адрес (порт) автоматизированной системы, используемой оператором по переводу денежных средств, предусмотренные разделом 11 ГОСТ Р ИСО 7498-3-97);
геолокация устройства, при помощи которого осуществлен доступ к автоматизированной системе, программному обеспечению оператора по переводу денежных средств в целях совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией (при наличии).".
1.5. В пункте 1.5:
в абзаце четвертом слова "и сроке" исключить;
дополнить абзацем пятым следующего содержания:
"Предоставление информации, указанной в абзаце втором пункта 1.5 настоящего Положения, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России осуществляется в сроки, установленные приложением 3 к настоящему Положению.".
1.6. В пункте 1.7 слова "средств криптографической защиты информации (далее - СКЗИ) заменить словами "СКЗИ".
1.7. В пункте 1.8:
абзац первый изложить в редакции:
"1.8. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ при взаимодействии с операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ в целях обеспечения контроля целостности электронных сообщений и подтверждения их составления уполномоченным на это лицом должны использовать усиленную электронную подпись в соответствии с требованиями Федерального закона от 6 апреля 2011 года N 63-ФЗ, созданную с использованием средств электронной подписи и средств удостоверяющего центра, имеющих сертификат соответствия требованиям, установленным федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности.";
дополнить абзацем вторым следующего содержания: "При осуществлении трансграничных переводов денежных средств обеспечение защиты информации и применение средств защиты информации, в том числе СКЗИ, осуществляется на основании соглашения между операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры, операторами электронных платформ и центральными банками иностранных государств, иными регуляторами финансового рынка, иностранными банками. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ доводят копию соглашения до Банка России.".
1.8. Главу 1 дополнить пунктом 1.10 следующего содержания:
"1.10. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, должны осуществлять деятельность по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, установленных пунктами 1.2, 1.3, 2.9, 3.11, 4.7, 6.11 и 7.6 настоящего Положения.".
1.9. В пункте 2.3 после слов "оценки соответствия защиты информации" дополнить словами "и оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений".
1.10. Пункт 2.5 дополнить абзацем следующего содержания: "Операторы по переводу денежных средств, которые должны обеспечивать сертификацию программного обеспечения автоматизированных систем и приложений не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 76, ставшие операторами по переводу денежных средств, которые должны обеспечивать сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России N 76, должны обеспечить сертификацию программного обеспечения автоматизированных систем и приложений не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России N 76 не позднее восемнадцати месяцев после того, как стали операторами по переводу денежных средств, указанными в абзаце первом настоящего подпункта.".
1.11. Пункт 3.2 главы 3 изложить в следующей редакции:
"3.2. Банковские платежные агенты, осуществляющие операции платежного агрегатора, должны обеспечивать защиту информации в отношении следующих процессов:
обеспечение приема электронных средств платежа юридическими лицами, индивидуальными предпринимателями и иными лицами, указанными в части 13 статьи 14 1 Федерального закона N 161-ФЗ;
формирование (подготовка) электронных сообщений при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14 1 Федерального закона от 27 июня 2011 года N 161-ФЗ, по операциям с использованием электронных средств платежа.".
1.12. В пункте 3.4 слова "строки 3" заменить словами "строк 3, 3 1".
1.13. В пункте 6.7 после слов "оценку соответствия защиты информации" дополнить словами "и оценку выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений".
1.14. Главу 7 дополнить пунктом 7.7 следующего содержания:
"7.7. Операторы электронных платформ, указанные в подпункте 1.4.3 пункта 1.4 Положения Банка России от 20 апреля 2021 года N 757-П, должны обеспечивать проведение оценки соответствия защиты информации и оценки выполнения требований к технологии обработки защищаемой информации и требований в отношении прикладного программного обеспечения автоматизированных систем и приложений в соответствии со сроками, установленными пунктом 1.5.3 пункта 1.5 Положения Банка России от 20 апреля 2021 года N 757-П.".
1.15. В пункте 8.1, подпункте 8.1.1 пункта 8.1, абзацах втором, третьем, пятом, шестом подпункта 8.1.2 пункта 8.1, подпункте 8.1.3, абзаце первом пункта 8.2 после слов "являющихся кредитными организациями добавить слова "или филиалами иностранных банков".
1.16. Пункт 8.3 дополнить абзацем четвертым следующего содержания:
"Банк России применяет меры к являющимся филиалами иностранных банков операторам по переводу денежных средств в порядке, установленном в соответствии с частью пятой статьи 74 2Федерального закона от 10 июля 2002 года N 86-ФЗ.".
1.17. Подпункт 1.5 пункта 1 приложения 1 дополнить абзацем следующего содержания:
"В случае использования простой электронной подписи необходимо обеспечить целостность электронного сообщения с использованием имитозащиты информации с аутентификацией с применением криптографического ключа отправителя сообщения.".
1.18. В приложении 2 графу 3 таблицы технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках изложить в следующей редакции:
|
3 |
Формирование (подготовка) электронных сообщений при участии в переводе денежных средств в пользу юридических лиц, индивидуальных предпринимателей и иных лиц, указанных в части 13 статьи 14 1Федерального закона от 27 июня 2011 года N 161-ФЗ, по операциям с использованием электронных средств платежа |
Информация, содержащаяся в электронных сообщениях при обеспечении приема электронных средств платежа банковскими платежными агентами, осуществляющими операции платежного агрегатора. Информация, содержащаяся в электронных сообщениях, направляемых банковскими платежными агентами, осуществляющими операции платежного агрегатора, операторам по переводу денежных средств, операторам услуг информационного обмена. Информация, содержащаяся в реестрах электронных сообщений при обеспечении приема электронных средств платежа банковскими платежными агентами, осуществляющими операции платежного агрегатора. Информация об осуществленных операциях по переводу денежных средств. Ключевая информация СКЗИ, используемая при осуществлении обмена электронными сообщениями между банковскими платежными агентами, осуществляющими операции платежного агрегатора, операторами по переводу денежных средств, операторами услуг информационного обмена |
ФПП |
Формирование банковским платежным агентом, являющимся платежным агрегатором, электронных сообщений, передача и прием банковским платежным агентом, осуществляющим операции платежного агрегатора, сформированных электронных сообщений |
|
|
+ |
+ |
+ |
|
|
+ |
+ |
|
|
|
ХИ |
Хранение банковским платежным агентом, осуществляющим операции платежного агрегатора, информации об осуществленных операциях по переводу денежных средств |
|
|
|
|
|
|
|
|
|
+ |
+ |
1.19. В приложении 2 таблицу технологических мер по обеспечению защиты информации при осуществлении переводов денежных средств на технологических участках дополнить графой 3 1 в следующей редакции:
|
3 1 |
Обеспечение приема электронных средств платежа юридическими лицами, индивидуальными предпринимателям и и иными лицами, указанными в части 13 статьи 14 1Федерального закона N 161-ФЗ |
Информация, используемая для формирования электронных сообщений. Информация, используемая для идентификации клиентов ОПДС при осуществлении переводов денежных средств. Информация, используемая для удостоверения права клиентов ОПДС распоряжаться денежными средствами |
ФПП |
Осуществление банковским платежным агентом, являющимся платежным агрегатором, операций, связанных с переводом денежных средств, путем обмена информацией, используемой для формирования электронных сообщений, с операторами по переводу денежных средств |
|
|
+ |
|
|
|
|
|
|
|
|
|
ОУ |
Получение банковским платежным агентом, являющимся платежным агрегатором, результатов осуществления переводов денежных средств, в том числе путем обмена информацией, используемой для формирования электронных сообщений, с операторами по переводу денежных средств |
|
|
+ |
|
|
|
|
|
|
|
|
|||
|
ХИ |
Хранение банковским платежным агентом, осуществляющим операции платежного агрегатора, информации об осуществленных операциях по переводу денежных средств |
|
|
|
|
|
|
|
|
|
+ |
+ |
1.20. Дополнить приложением 3 в редакции приложения 1 к настоящему Указанию.
2. Настоящее Указание подлежит официальному опубликованию и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от ___________ года N ПСД- ___________) вступает в силу с 1 октября 2025 года.
------------------------------
1 Зарегистрировано Минюстом России 6 декабря 2023 года, регистрационный N 76286.
------------------------------
|
Председатель |
Э.С. Набиуллина |
Приложение 1
к Указанию Банка России
от ___.___.2024 N _________
"О внесении изменений в Положение Банка
России от 17 августа 2023 года
N 821-П"
"Приложение 3
к Положению Банка России
от 17 августа 2023 N 821-П
"О требованиях к обеспечению защиты
формации при осуществлении переводов
денежных средств и о порядке
осуществления Банком России контроля за
соблюдением требований
к обеспечению защиты информации
при осуществлении переводов
денежных средств"
Сроки предоставления операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банку России сведений о выявленных инцидентах защиты информации, о принятых мерах и проведенных мероприятиях по реагированию на выявленный операторами по переводу денежных средств, операторами услуг платежной инфраструктуры или Банком России инцидент защиты информации
|
Вид сведений |
Срок предоставления |
|
1 |
2 |
|
Сведения о выявлении инцидента защиты информации |
В течение 3 часов с момента выявления инцидента защиты информации |
|
Сведения о выявлении незаконного раскрытия банковской тайны и (или) защищаемой информации, указанной в пунктах 1.3, 2.2, 6.4, приложении 2 настоящего Положения | |
|
Сведения о результатах расследования инцидента защиты информации или незаконного раскрытия банковской тайны и (или) защищаемой информации, указанной в пунктах 1.3, 2.2, 6.4, приложении 2 настоящего Положения |
В течение 30 дней с момента направления в Банк России формы представления данных о выявлении инцидента защиты информации или незаконного раскрытия банковской тайны и (или) защищаемой информации, указанной в пунктах 1.3, 2.2, 6.4, приложении 2 настоящего Положения |
|
Сведения о компьютерных инцидентах (в соответствии с частью 5 статьи 2 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации") |
В течение 3 часов с момента выявления компьютерного инцидента в случае его связи с функционированием значимого объекта критической информационной инфраструктуры. В течение 24 часов с момента выявления компьютерного инцидента во всех иных случаях |
|
Сроки предоставления операторами по переводу денежных средств, операторами услуг платежной инфраструктуры сведений по запросу Банка России | |
|
Сведения по запросу в целях подтверждения факта незаконного раскрытия банковской тайны и (или) защищаемой информации, указанной в пунктах 1.3, 2.2, 6.4, приложении 2 настоящего Положения |
В течение 24 часов с момента получения запроса Банка России в случае выявления на основании сведений из запроса Банка России факта незаконного раскрытия банковской тайны и (или) защищаемой информации, указанной в пунктах 1.3, 2.2, 6.4, приложении 2 настоящего Положения. В течение 24 часов с момента получения запроса Банка России, в случае если на основании сведений из запроса Банка России не был выявлен факт незаконного раскрытия банковской тайны и (или) защищаемой информации в соответствии с нормативными актами Банка России |
|
Сведения по запросу в целях получения сведений о принадлежности выявленного ресурса в сети Интернет |
В течение 24 часов с момента получения запроса Банка России |
Пояснительная записка к проекту указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 года N 821-П"
Банк России разработал проект указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 года N 821-П" (далее - проект).
Полномочия Банка России по разработке проекта и принятию акта установлены частью 3 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе.
Проект разработан в целях гармонизаций требований и уточнения формулировок Положения Банка России от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - Положение Банка России N 821-П), а также установления дополнительных требований по защите информации для субъектов национальной платежной системы (далее - НПС), а именно:
- определения обязанности реализации наиболее высокого из требуемых нормативными актами Банка России уровней защиты информации, в случае если в отношении объектов информационной инфраструктуры субъекта НПС действуют требования, установленные на основании статьи 57.4 Федерального закона N 86-ФЗ, части 3 статьи 27 Федерального закона от 27.06.2011 N 161-ФЗ "О национальной платежной системе", и субъект НПС применяет единый контур безопасности в соответствии с пунктом 6.7 раздела 6 ГОСТ Р 57580.1-2017;
- установления сроков предоставления сведений об инцидентах операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России (в том числе по запросу Банка России);
- установления требований к расчету значений показателей оценки выполнения требований к мерам защиты информации в отношении технологии безопасной обработки защищаемой информации и оценки выполнения требований к мерам защиты информации в отношении прикладного программного обеспечения автоматизированных систем и приложений;
- установления требования об осуществлении деятельности по планированию, реализации, контролю и совершенствованию мер и мероприятий, направленных на реализацию требований, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации;
- определения права субъекта НПС по реализации процессов разработки программного обеспечения и приложений, включающих меры обеспечения безопасного жизненного цикла разработки программного обеспечения и приложений;
- расширен перечень сведений о действиях клиентов участников национальной платежной системы, осуществляемых в рамках переводов денежных средств, подлежащих регистрации и хранению.
Предложения и замечания по проекту в рамках его публичного обсуждения в целях оценки регулирующего воздействия принимаются до 25 августа 2024 года по адресам: nikitinavl@cbr.ru и belyaevea@cbr.ru.
Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Банк России планирует установить дополнительные требования по защите информации для субъектов национальной платежной системы (НПС). В частности, предлагается:
- расширить перечень сведений о действиях клиентов участников НПС, осуществляемых в рамках переводов денежных средств, подлежащих регистрации и хранению;
- установить сроки предоставления сведений об инцидентах операторами по переводу денежных средств, операторами услуг платежной инфраструктуры в Банк России (в т. ч. по запросу регулятора);
- урегулировать деятельность по планированию, реализации, контролю и совершенствованию мер по реализации требований, применяемых в отношении прикладного ПО автоматизированных систем и приложений и в отношении технологии обработки защищаемой информации.
Проект указания Банка России "О внесении изменений в Положение Банка России от 17 августа 2023 года N 821-П" (по состоянию на 12 августа 2024 г.)
Опубликование:
-