Глава 6. Требования к обеспечению операторами услуг платежной инфраструктуры (при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра) защиты информации при осуществлении переводов денежных средств
6.1. Операторы услуг платежной инфраструктуры, осуществляющие деятельность операционных центров (далее - ОЦ), при предоставлении операционных услуг должны обеспечивать защиту информации при осуществлении обмена электронными сообщениями между операторами по переводу денежных средств, между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры, осуществляющими деятельность платежных клиринговых центров (далее - ПКЦ), операторами услуг платежной инфраструктуры, осуществляющими деятельность расчетных центров (далее - РЦ), между ПКЦ и РЦ.
6.2. ПКЦ при предоставлении услуг платежного клиринга должен обеспечивать защиту информации при осуществлении следующих операций:
выполнение процедур приема к исполнению электронных сообщений операторов по переводу денежных средств, включая проверку соответствия электронных сообщений операторов по переводу денежных средств установленным требованиям, определение достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств и определение платежных клиринговых позиций;
передача РЦ для исполнения электронных сообщений ПКЦ, принятых электронных сообщений операторов по переводу денежных средств;
направление операторам по переводу денежных средств извещений (подтверждений), касающихся приема к исполнению электронных сообщений операторов по переводу денежных средств, а также передача извещений (подтверждений), касающихся исполнения электронных сообщений операторов по переводу денежных средств.
6.3. РЦ должен обеспечивать защиту информации при исполнении поступивших от ПКЦ электронных сообщений ПКЦ, операторов по переводу денежных средств посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств.
6.4. К защищаемой информации при осуществлении операторами услуг платежной инфраструктуры операций, указанных в пунктах 6.1-6.3 настоящего Положения, относится информация в соответствии с графой "Защищаемая информация" строк 6-10 приложения 2 к настоящему Положению.
6.5. Операторы услуг платежной инфраструктуры должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017:
операторы услуг платежной инфраструктуры, оказывающие услуги платежной инфраструктуры в рамках системно значимых платежных систем, должны реализовывать усиленный уровень защиты информации;
операторы услуг платежной инфраструктуры, не указанные в абзаце втором настоящего пункта, должны реализовывать стандартный уровень защиты информации.
6.6. Операторы услуг платежной инфраструктуры, которые должны реализовывать стандартный уровень защиты информации, ставшие операторами услуг платежной инфраструктуры, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали операторами услуг платежной инфраструктуры, указанными в абзаце втором пункта 6.5 настоящего Положения.
6.7. Операторы услуг платежной инфраструктуры должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.
6.8. Операторы услуг платежной инфраструктуры должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.
6.9. Операторы услуг платежной инфраструктуры, которые должны реализовывать стандартный уровень защиты информации, вправе самостоятельно определять необходимость сертификации или проведения оценки соответствия по требованиям к ОУД не ниже чем ОУД 4 в соответствии с требованиями ГОСТ Р ИСО/МЭК 15408-3-2013 в отношении прикладного программного обеспечения автоматизированных систем и приложений.
6.10. В случае принятия решения о проведении сертификации прикладного программного обеспечения автоматизированных систем и приложений операторы услуг платежной инфраструктуры, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить сертификацию не ниже 4 уровня доверия в соответствии с приказом ФСТЭК России N 131.
В случае принятия решения о необходимости проведения сертификации прикладного программного обеспечения автоматизированных систем и приложений операторы услуг платежной инфраструктуры, которые должны реализовывать стандартный уровень защиты информации, должны обеспечить сертификацию не ниже 5 уровня доверия в соответствии с приказом ФСТЭК России N 131.
6.11. Операторы услуг платежной инфраструктуры должны обеспечить при осуществлении операций, указанных в пунктах 6.1-6.3 настоящего Положения, реализацию технологических мер по обеспечению защиты информации в соответствии с приложениями 1 и 2 к настоящему Положению.