Процедура защиты информации при осуществлении электронных платежей через систему онлайн банк

Обновлено: 18.04.2024

1. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации о средствах и методах обеспечения информационной безопасности, персональных данных и об иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации. Правительство Российской Федерации устанавливает требования к защите указанной информации.

Информация об изменениях:

Статья 27 дополнена частью 1.1 с 1 декабря 2021 г. - Федеральный закон от 1 июля 2021 г. N 250-ФЗ

1.1. Запрещается размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информации, позволяющей в целях неправомерного завладения или создания условий для неправомерного завладения денежными средствами клиентов операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры осуществлять доступ к информационным системам операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры, электронным средствам платежа или программному обеспечению, которое применяется указанными клиентами с использованием технического устройства, подключенного к информационно-телекоммуникационной сети "Интернет", и используется при предоставлении (получении) услуг операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, поставщиков платежных приложений, операторов платежных систем, операторов услуг платежной инфраструктуры, а также к базам данных, содержащим полученную с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", информацию об указанных клиентах.

2. Контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий и без права ознакомления с защищаемой информацией.

Информация об изменениях:

Часть 3 изменена с 2 августа 2019 г. - Федеральный закон от 2 августа 2019 г. N 264-ФЗ

3. Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, поставщики платежных приложений, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны обеспечивать защиту информации при осуществлении переводов денежных средств в соответствии с требованиями, установленными Банком России, согласованными с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи. Контроль за соблюдением установленных требований осуществляется Банком России в рамках надзора в национальной платежной системе в установленном им порядке, согласованном с федеральными органами исполнительной власти, предусмотренными частью 2 настоящей статьи.

Информация об изменениях:

Статья 27 дополнена частью 4 с 26 сентября 2018 г. - Федеральный закон от 27 июня 2018 г. N 167-ФЗ

4. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны реализовывать мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в порядке, установленном Банком России.

Информация об изменениях:

Статья 27 дополнена частью 5 с 26 сентября 2018 г. - Федеральный закон от 27 июня 2018 г. N 167-ФЗ

5. В целях обеспечения защиты информации при осуществлении переводов денежных средств Банк России осуществляет формирование и ведение базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Информация об изменениях:

Статья 27 дополнена частью 6 с 26 сентября 2018 г. - Федеральный закон от 27 июня 2018 г. N 167-ФЗ

6. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры обязаны направлять в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента по форме и в порядке, которые установлены Банком России.

Информация об изменениях:

Статья 27 дополнена частью 7 с 26 сентября 2018 г. - Федеральный закон от 27 июня 2018 г. N 167-ФЗ

7. Операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры вправе получать от Банка России по форме и в порядке, которые им установлены, информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента.

Статья 27. Обеспечение защиты информации в платежной системе

(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

(часть 1.1 введена Федеральным законом от 01.07.2021 N 250-ФЗ)

(в ред. Федеральных законов от 03.07.2019 N 173-ФЗ, от 02.08.2019 N 264-ФЗ)

(см. текст в предыдущей редакции)

(часть 4 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

(часть 5 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

(часть 6 введена Федеральным законом от 27.06.2018 N 167-ФЗ)

Статья 10. Порядок использования электронных средств платежа при осуществлении перевода электронных денежных средств

1. Перевод электронных денежных средств осуществляется с проведением идентификации клиента, упрощенной идентификации клиента - физического лица или без проведения идентификации в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма".

(в ред. Федерального закона от 05.05.2014 N 110-ФЗ)

(см. текст в предыдущей редакции)

2. В случае проведения оператором электронных денежных средств идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" использование электронного средства платежа осуществляется клиентом - физическим лицом при условии, что остаток электронных денежных средств в любой момент не превышает 600 тысяч рублей либо сумму в иностранной валюте, эквивалентную 600 тысячам рублей по официальному курсу Банка России. Указанное электронное средство платежа является персонифицированным.

(в ред. Федерального закона от 28.12.2013 N 403-ФЗ)

(см. текст в предыдущей редакции)

3. Допускается превышение суммы, указанной в части 2 настоящей статьи, вследствие изменения официального курса иностранной валюты, устанавливаемого Банком России.

4. В случае непроведения оператором электронных денежных средств идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" использование электронного средства платежа осуществляется клиентом - физическим лицом при условии, что остаток электронных денежных средств в любой момент не превышает 15 тысяч рублей, за исключением случая, предусмотренного частью 5.1 настоящей статьи. Указанное электронное средство платежа является неперсонифицированным.

(в ред. Федерального закона от 05.05.2014 N 110-ФЗ)

(см. текст в предыдущей редакции)

5. Общая сумма переводимых электронных денежных средств с использованием одного неперсонифицированного электронного средства платежа не может превышать 40 тысяч рублей в течение календарного месяца, за исключением случая, предусмотренного частью 5.1 настоящей статьи.

(в ред. Федерального закона от 05.05.2014 N 110-ФЗ)

(см. текст в предыдущей редакции)

5.1. В случае проведения оператором электронных денежных средств упрощенной идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" использование неперсонифицированного электронного средства платежа может осуществляться клиентом - физическим лицом при условии, что остаток электронных денежных средств в любой момент не превышает 60 тысяч рублей, а общая сумма переводимых электронных денежных средств с использованием такого неперсонифицированного электронного средства платежа не превышает 200 тысяч рублей в течение календарного месяца.

(часть 5.1 введена Федеральным законом от 05.05.2014 N 110-ФЗ; в ред. Федерального закона от 11.06.2021 N 187-ФЗ)

(см. текст в предыдущей редакции)

5.2. Неперсонифицированное электронное средство платежа не может использоваться клиентом - физическим лицом, не прошедшим упрощенную идентификацию, для осуществления перевода электронных денежных средств другому физическому лицу либо для получения переводимых электронных денежных средств от другого физического лица.

(часть 5.2 введена Федеральным законом от 05.05.2014 N 110-ФЗ)

5.3. Оператор электронных денежных средств при проведении упрощенной идентификации клиента - физического лица в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" обязан предоставить клиенту - физическому лицу возможность выбора любого из предусмотренных указанным Федеральным законом способов упрощенной идентификации, а также предоставить указанному клиенту информацию, обеспечивающую использование электронного средства платежа.

(часть 5.3 введена Федеральным законом от 05.05.2014 N 110-ФЗ)

6. Оператор электронных денежных средств не осуществляет перевод электронных денежных средств, если в результате такого перевода будут превышены суммы, указанные в частях 2, 4, 5 и 5.1 настоящей статьи. При этом за счет остатка (его части) электронных денежных средств клиента - физического лица по его распоряжению могут осуществляться операции, предусмотренные частями 20 и 21 статьи 7 настоящего Федерального закона.

(часть 6 в ред. Федерального закона от 18.03.2019 N 33-ФЗ)

(см. текст в предыдущей редакции)

7. Использование электронного средства платежа клиентом - юридическим лицом или индивидуальным предпринимателем осуществляется с проведением его идентификации оператором электронных денежных средств в соответствии с Федеральным законом от 7 августа 2001 года N 115-ФЗ "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма". Указанное электронное средство платежа является корпоративным. Использование корпоративного электронного средства платежа осуществляется при условии, что остаток электронных денежных средств не превышает 600 тысяч рублей либо сумму в иностранной валюте, эквивалентную 600 тысячам рублей по официальному курсу Банка России, на конец рабочего дня оператора электронных денежных средств.

(в ред. Федерального закона от 28.12.2013 N 403-ФЗ)

(см. текст в предыдущей редакции)

8. Допускается превышение суммы, указанной в части 7 настоящей статьи, вследствие изменения официального курса иностранной валюты, устанавливаемого Банком России.

9. В случае превышения суммы, указанной в части 7 настоящей статьи, оператор электронных денежных средств обязан осуществить зачисление или перевод денежных средств в размере превышения указанного ограничения на банковский счет юридического лица или индивидуального предпринимателя без его распоряжения.

10. Оператор электронных средств платежа обязан обеспечивать при использовании электронных средств платежа, предусмотренных настоящей статьей, возможность их определения клиентами как неперсонифицированных, персонифицированных или корпоративных электронных средств платежа.

11. Переводы электронных денежных средств с использованием персонифицированных электронных средств платежа, корпоративных электронных средств платежа могут быть приостановлены в порядке и случаях, которые аналогичны порядку и случаям приостановления операций по банковскому счету, которые предусмотрены законодательством Российской Федерации.

12. При переводе электронных денежных средств с использованием персонифицированных электронных средств платежа и корпоративных электронных средств платежа на остаток электронных денежных средств может быть обращено взыскание в соответствии с законодательством Российской Федерации.

13. Оператор электронных денежных средств обязан обеспечить невозможность использования электронного средства платежа до ознакомления клиента - физического лица с информацией, указанной в части 25 статьи 7 настоящего Федерального закона.

14. Положения настоящей статьи о порядке использования корпоративных электронных средств платежа применяются также к электронным средствам платежа, используемым нотариусом, занимающимся частной практикой, или адвокатом, учредившим адвокатский кабинет.

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО "Сбербанк-АСТ". Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Положение Банка России от 23 декабря 2020 г. № 747-П "О требованиях к защите информации в платежной системе Банка России" (документ не вступил в силу)

Обзор документа

Положение Банка России от 23 декабря 2020 г. № 747-П "О требованиях к защите информации в платежной системе Банка России" (документ не вступил в силу)

Настоящее Положение на основании пункта 19 части 1 и части 9 статьи 20 Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 31, ст. 4423) и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 18 декабря 2020 года № ПСД-30) устанавливает требования к защите информации в платежной системе Банка России.

Требования к защите информации должны выполняться участниками обмена, ОПКЦ и ОУИО СБП с учетом требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленными в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 31, ст. 4423) (далее - Федеральный закон от 27 июня 2011 года № 161-ФЗ).

3. Участники обмена при осуществлении переводов денежных средств в платежной системе Банка России (далее - осуществление переводов денежных средств) с использованием сервиса срочного перевода и сервиса несрочного перевода (далее - участники ССНП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники ССНП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года № 822-ст "Об утверждении национального стандарта Российской Федерации" (М, ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

4. Участники обмена при осуществлении переводов денежных средств с использованием сервиса быстрых платежей (далее - участники СБП) должны размещать объекты информационной инфраструктуры, используемые при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей участники СБП должны применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

5. ОУИО СБП должен размещать объекты информационной инфраструктуры в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей ОУИО СБП должен применять меры защиты информации, реализующие стандартный уровень (уровень 2) защиты информации, определенный ГОСТ Р 57580.1-2017.

6. ОПКЦ должен размещать объекты информационной инфраструктуры, используемые при предоставлении операционных услуг и услуг платежного клиринга участникам СБП, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) ОПКЦ должен применять меры защиты информации, реализующие усиленный уровень (уровень 1) защиты информации, определенный ГОСТ Р 57580.1-2017.

7. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП во внутренних документах должны определять состав и порядок применения организационных мер защиты информации и состав и порядок использования технических средств защиты информации.

7.1. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны принимать внутренние документы в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами защиты информации;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

7.2. Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны определять во внутренних документах информацию, предусматривающую:

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с осуществлением переводов денежных средств;

лиц, допущенных к работе со СКЗИ;

лиц, ответственных за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ);

лиц, обладающих правами по управлению криптографическими ключами, в том числе ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей.

15. Применение участниками СБП мер защиты информации должно обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, формируемого на ежеквартальной основе, не более 0,005 процента.

Значение показателя, характеризующего уровень переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, должно рассчитываться как отношение суммы денежных средств, в отношении которых получены уведомления от клиентов участников СБП о списании денежных средств с их банковских счетов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов участников СБП посредством осуществления перевода денежных средств с использованием сервиса быстрых платежей.

16. В рамках реализации мер по противодействию осуществлению переводов денежных средств без согласия клиента при осуществлении переводов денежных средств с использованием сервиса быстрых платежей участник СБП, являющийся банком плательщика (далее - участник СБП - банк плательщика), участник СБП, являющийся банком получателя (далее - участник СБП - банк получателя), ОПКЦ, ОУИО СБП должны обеспечивать выполнение следующих требований.

Участник СБП - банк плательщика должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, установленным Банком России и размещенным на официальном сайте Банка России в соответствии с частью 5 1 статьи 8 Федерального закона от 27 июня 2011 года № 161-ФЗ (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2019, № 27, ст. 3538) (далее - признаки осуществления переводов денежных средств без согласия клиента), в рамках реализуемой им системы управления рисками при осуществлении переводов денежных средств с использованием сервиса быстрых платежей;

ОПКЦ должен осуществлять:

выявление операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основании моделей оценки риска операций по переводу денежных средств, установленных Банком России (далее - модели оценки риска операций Банка России), индикаторов уровня риска операции при осуществлении переводов денежных средств с использованием сервиса быстрых платежей, полученных от участников СБП;

приостановление процедуры приема к исполнению, в том числе последующих процедур приема к исполнению и исполнения распоряжений в рамках выявленной операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента, при осуществлении переводов денежных средств с использованием сервиса быстрых платежей в соответствии с договором об оказании услуг между участником СБП и ОПКЦ;

незамедлительное уведомление участников СБП о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором об оказании услуг между участником СБП и ОПКЦ;

уведомление Банка России о выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в соответствии с договором о взаимодействии между Банком России и ОПКЦ;

16.1. В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участника СБП и (или) его клиентов, ОПКЦ, и дальнейшему предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента участник СБП, ОПКЦ должны обеспечить выполнение следующих требований.

Участник СБП - банк плательщика при выявлении информации о компьютерных атаках, проводимых с использованием идентификаторов клиентов участника СБП, направленных на получение информации о клиентах участника СБП из формирующихся распоряжений клиента участника СБП о переводе денежных средств (далее - переборы идентификаторов клиентов участника СБП), при осуществлении переводов денежных средств с использованием сервиса быстрых платежей осуществляет блокировку идентификатора клиента участника СБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, и незамедлительно уведомляет Банк России и ОПКЦ о его блокировке.

ОПКЦ осуществляет выявление переборов идентификаторов клиентов участника СБП на стороне участников СБП, блокировку идентификатора клиента участника СБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, при каждом выявлении перебора идентификаторов клиентов участника СБП, в том числе при отсутствии уведомления участника СБП о блокировке, на срок, установленный договором об оказании услуг между участником СБП и ОПКЦ, и направление уведомлений участнику СБП и Банку России о блокировке идентификатора клиента участника СБП.

При получении участником СБП - банком плательщика уведомления о блокировке идентификатора клиента участника СБП при осуществлении переводов денежных средств с использованием сервиса быстрых платежей от ОПКЦ участник СБП обязан осуществлять проверку полученной информации в соответствии с договором между клиентом участника СБП и участником СБП, о результатах которой Банк России уведомляется в соответствии с пунктом 2.13 1 Положения Банка России от 9 июня 2012 года № 382-П.

Участник СБП принимает решение о разблокировке идентификатора клиента участника СБП по результатам проведенной проверки и доводит принятое им решение до ОПКЦ в соответствии с договором об оказании услуг между участником СБП и ОПКЦ.

ОПКЦ осуществляет разблокировку идентификатора клиента участника СБП в соответствии с договором об оказании услуг между участником СБП и ОПКЦ.

17. При получении Банком России уведомления о блокировке идентификатора клиента участника СБП при осуществлении переводов денежных средств с использованием сервиса быстрых платежей от участника СБП или ОПКЦ Банк России осуществляет информирование о переборах идентификаторов клиентов участника СБП на стороне участников СБП и об идентификаторе клиента участника СБП, применяемом для осуществления переборов идентификаторов клиентов участника СБП, путем направления уведомления участникам СБП и ОПКЦ. Для целей анализа обеспечения в платежной системе Банка России защиты информации при осуществлении переводов денежных средств участники ССНП, участники СБП и ОПКЦ должны информировать Банк России о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, которые в том числе привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств, в рамках реализации требований, установленных:

пунктом 2.13. 1 Положения Банка России от 9 июня 2012 года № 382-П;

ОУИО СБП обязан информировать участника СБП о нарушениях требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе о тех, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств, в соответствии с договором между участником СБП и ОУИО СБП.

В случае невозможности направления обращения с использованием технической инфраструктуры (автоматизированной системы) Банка России обращение должно направляться с использованием резервного способа взаимодействия.

18.2. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участника ССНП с Банком России, с помощью которого направляются обращения, размещается на официальном сайте Банка России.

18.3. В целях направления обращений участник ССНП должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (далее - уполномоченное лицо), и направление в Банк России информации об уполномоченных лицах, в том числе фамилий, имен, отчеств (последние при наличии), наименований должностей, контактных номеров телефонов, при наличии - номеров факсимильного аппарата, адресов электронной почты.

18.5. При получении обращений с использованием технической инфраструктуры (автоматизированной системы) Банка России Банк России должен обеспечивать контроль целостности и подтверждение подлинности содержащейся в них информации.

При получении обращений с использованием резервного способа взаимодействия Банк России должен обеспечивать проверку соответствия реквизитов обращений информации, указанной в подпункте 18.3 настоящего пункта.

В случае отрицательного результата контроля целостности и подтверждения подлинности обращений, проверки соответствия реквизитов обращений Банк России не должен принимать обращения к исполнению, о чем уведомляется участник ССНП.

Уведомление участника ССНП осуществляется с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае невозможности уведомления участника ССНП с использованием технической инфраструктуры (автоматизированной системы) Банка России уведомление осуществляется с использованием резервного способа взаимодействия.

19. Для оценки участниками ССНП, участниками СБП, ОПКЦ и ОУИО СБП выполнения ими требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее - оценка соответствия) устанавливаются следующие требования:

оценка соответствия должна проводиться в пределах выделенных сегментов (группы сегментов) вычислительных сетей, указанных в пунктах 3-6 настоящего Положения;

оценка соответствия должна проводиться в соответствии с положениями национального стандарта Российской Федерации ГОСТ Р 57580.2-2018 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года № 156-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2018) (далее - ГОСТ Р 57580.2-2018);

оценка соответствия должна проводиться не реже одного раза в два года.

Участники ССНП, участники СБП, ОПКЦ и ОУИО СБП должны обеспечивать для объектов информационной инфраструктуры, размещенных в отдельных выделенных сегментах (группах сегментов) вычислительных сетей, указанных в пунктах 3-6 настоящего Положения, уровень соответствия не ниже четвертого согласно ГОСТ Р 57580.2-2018.

20. Контроль за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России осуществляет в соответствии с главой 3 Положения Банка России от 9 июня 2012 года № 382-П.

21. Настоящее Положение вступает в силу по истечении 10 дней после дня его официального опубликования, за исключением положений, для которых настоящим пунктом установлены иные сроки вступления их в силу.

Пункт 5, абзацы третий - пятый пункта 12 настоящего Положения вступают в силу с 1 января 2022 года.

Абзац пятый пункта 19 настоящего Положения вступает в силу с 1 января 2023 года.

Председатель
Центрального банка
Российской Федерации

Э.С. Набиуллина

Приложение
к Положению Банка России
от 23 декабря 2020 года № 747-П
"О требованиях к защите информации
в платежной системе Банка России"

Обзор документа

Заново установлены требования к защите информации в платежной системе ЦБ. Они заменят требования 2019 г.

Требования должны выполнять:

- банки - прямые участники системы, имеющие доступ к услугам по переводу средств с использованием распоряжений в электронном виде;

- операционный центр, платежный клиринговый центр другой платежной системы при предоставлении операционных услуг и услуг платежного клиринга при переводе средств через СБП;

- оператор услуг информационного обмена при предоставлении участникам обмена своих услуг в рамках переводов через СБП.

Положение вступает в силу по истечении 10 дней после опубликования, за исключением некоторых норм, для которых установлены иные сроки.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

В данной статье представлена базовая модель угроз информационной безопасности банковских безналичных переводов, осуществляемых через платежную систему Банка России.

Угрозы, представленные здесь, справедливы практически для любого банка в Российской Федерации, а также для любых других организаций, использующих для осуществления расчетов толстые клиенты с криптографическим подтверждением платежей.

Настоящая модель угроз предназначена для обеспечения практической безопасности и формирования внутренней документации банков в соответствии с требованиями Положений Банка России № 552-П от 24 августа 2016 г. и № 382-П от 9 июня 2012 г.

Методика моделирования

Структура модели угроз

Одним из наиболее удачных на сегодняшний день способов моделирования компьютерных атак является Kill chain. Данный способ представляет компьютерную атаку как последовательность этапов, выполняемую злоумышленниками для достижения поставленных ими целей.

Описание большинства этапов приведено в MITRE ATT&CK Matrix, но в ней нет расшифровки конечных действий — «Actions» (последнего этапа Kill chain), ради которых злоумышленники осуществляли атаку и которые, по сути, и являются кражей денег у банка. Другой проблемой применения классического Kill chain для моделирования угроз является отсутствие в нем описания угроз, связанных с доступностью.

Данная модель угроз призвана компенсировать эти недостатки. Для этого она формально будет состоять из двух частей:

Первая будет описывать проблемы, связанные с доступностью.
Вторая, представляющая собой классический Kill chain с расшифрованным последним этапом, будет описывать «компьютерную» кражу денег у банка.

Методика формирования модели угроз

Основными требованиями к создаваемой модели угроз были:

сохранение компактности и минимизация дублирования,
полнота идентификации угроз и простота уточнения модели,
обеспечение возможности работы с моделью как бизнес-специалистам, так и техническим работникам.

Угрозы описывались, начиная с бизнес-уровня, и постепенно декомпозировались на технические составляющие.
Угрозы, свойственные типовым элементам информационной инфраструктуры (например, сетевым соединениям, системам криптографической защиты информации, . ) группировались в типовые модели угроз.
Далее при моделировании угроз, свойственных типовым элементам информационной инфраструктуры, вместо дублирования описания угроз давалась ссылка на соответствующую типовую модель.

Порядок применения данной модели угроз к реальным объектам

Применение данной модели угроз к реальным объектам следует начинать с уточнения описания информационной инфраструктуры, а затем, в случае необходимости, провести более детальную декомпозицию угроз.

Порядок актуализации угроз, описанных в модели, следует проводить в соответствии с внутренними документами организации. В случае отсутствия таких документов их можно разработать на базе методик, рассмотренных в предыдущей статье исследования.

Особенности оформления модели угроз

В данной модели угроз приняты следующие правила оформления:

Модель угроз представляет собой дерево угроз. Дерево угроз записывается в виде иерархического списка, где каждый элемент списка соответствует узлу дерева и соответственно определенной угрозе.
Наименование угрозы начинается с идентификатора угрозы, который имеет вид:

Пояснения содержат разъяснения к описываемой угрозе. Здесь могут приводиться примеры реализации угрозы, объяснение решений, принятых во время декомпозиции, ограничения по моделированию и другая информация.
Декомпозиция содержит иерархический список дочерних угроз.

(И) – реализация родительской угрозы происходит только при реализации всех дочерних угроз.
(Сценарий) – реализация родительской угрозы происходит при некотором определенном сценарии или алгоритме реализации дочерних угроз.

Базовая модель угроз информационной безопасности банковских безналичных платежей

Объект защиты, для которого применяется модель угроз (scope)

Область действия настоящей модели угроз распространяется на процесс безналичных переводов денежных средств через платежную систему Банка России.

Архитектура
В зону действия модели входит следующая информационная инфраструктура:

Перечень помещений, входящих в зону действия модели угроз, определяется по критерию наличия в них объектов информационной инфраструктуры, участвующих в осуществлении переводов денежных средств.

Ограничения модели
Настоящая модель угроз распространяется только на вариант организации платежной инфраструктуры с АРМ КБР, совмещающим в себе функции шифрования и электронной подписи, и не рассматривает случая использования АРМ КБР-Н, где электронная подпись осуществляется «на стороне АБС».

Угрозы безопасности верхнего уровня

Декомпозиция

У1. Прекращение функционирования системы безналичных переводов.
У2. Кража денежных средств в процессе функционирования системы безналичных переводов.

У1. Прекращение функционирования системы безналичных переводов

Потенциальный ущерб от реализации данной угрозы можно оценить на основании следующих предпосылок:

В договорах обслуживания банковского счета, заключенных между клиентами и банком, как правило, присутствует отметка о том, в течение какого времени банк обязан исполнить платеж. Нарушение указанных в договоре сроков влечет ответственность банка перед клиентом.
Если банк неожиданно прекратит исполнять платежи, то это вызовет вопросы о его финансовой стабильности, и, как следствие, может спровоцировать массовый отток депозитов.
Непрерывность осуществления платежей является одним из условий сохранения лицензии на банковскую деятельность. Систематические отказы и сбои могут породить серьезные вопросы к банку со стороны ЦБ РФ и привести к отзыву лицензии.

При декомпозиции данной угрозы учитывались следующие документы:

У2. Кража денежных средств в процессе функционирования системы безналичных переводов

Кража денежных средств в процессе функционирования системы безналичных переводов представляет собой кражу безналичных денежных средств с их последующим или одновременным выводом из банка-жертвы.

Кража безналичных денежных средств представляет собой несанкционированное изменение остатка на счете клиента или банка. Данные изменения могут произойти в результате:

нештатного изменения остатка на счете;
несанкционированного внутрибанковского или межбанковского перевода денежных средств.

Нештатное изменение остатка на счете, как правило, сопровождается штатными операциями по расходованию украденных денежных средств. К подобным операциям можно отнести:

обналичивание денег в банкоматах банка-жертвы,
осуществления переводов денежных средств на счета, открытые в других банках,
совершения онлайн-покупок,
и т.д.

Формирование поддельных распоряжений о переводе денежных средств может производиться как по вине клиентов, так и по вине банка. В настоящей модели угроз будут рассмотрены только угрозы, находящиеся в зоне ответственности банка. В качестве распоряжений о переводах денежных средств в данной модели будут рассматриваться только платежные поручения.

В общем случае можно считать, что обработка банком внутрибанковских переводов является частным случаем обработки межбанковских переводов, поэтому для сохранения компактности модели далее будут рассматривать только межбанковские переводы.

Кража безналичных денежных средств может производиться как при исполнении исходящих платежных поручений, так и при исполнении входящих платежных поручений. При этом исходящим платежным поручением будем называть платежное поручение, направляемое банком в платежную систему Банка России, а входящим будем называть платежное поручение, поступающие в банк из платежной системы Банка России.

Декомпозиция

У2.1. Исполнение банком поддельных исходящих платежных поручений.
У2.2. Исполнение банком поддельных входящий платежных поручений.
У2.3. Нештатное изменение остатков на счете.

У2.1. Исполнение банком поддельных исходящих платежных поручений

Основной причиной, из-за которой банк может исполнить поддельное платежное поручение является его внедрение злоумышленниками в бизнес-процесс обработки платежей.

Декомпозиция

У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей.

У2.1.1. Внедрение злоумышленниками поддельного исходящего платежного поручения в бизнес-процесс обработки платежей

У2.1.1.1. в элементе «Операционист банка»

Операционист при приеме бумажного платежного поручения от клиента заносит на его основании электронный документ в АБС. Подавляющее большинство современных АБС основано на архитектуре клиент-сервер, что позволяет произвести анализ данной угрозы на базе типовой модели угроз клиент-серверных информационных систем.

Декомпозиция

У2.1.1.1.1. Операционист банка принял от злоумышленника, представившегося клиентом банка, поддельное платежное поручение на бумажном носителе.
У2.1.1.1.2. От имени операциониста банка в АБС внесено поддельное электронное платежное поручение.
У2.1.1.1.2.1. Операционист действовал по злому умыслу или совершил непреднамеренную ошибку.
У2.1.1.1.2.2. От имени операциониста действовали злоумышленники:
У2.1.1.1.2.2.1. Ссылка: «Типовая модель угроз. Информационная система, построенная на базе архитектуры клиент-сервер. У1. Совершение злоумышленниками несанкционированных действий от имени легитимного пользователя».

Примечание. Типовые модели угроз будут рассмотрены в следующих статьях.

Автор статьи

Куприянов Денис Юрьевич

Юрист частного права

Страница автора

Читайте также: