Год 2023. Новая редакция Положения Банка России № 382-П

Год 2023. Новая редакция Положения Банка России № 382-П
Разумно, когда регулятор знакомит банковское сообщество с нормативными правовыми актами, подготовленными на перспективу. Становится более понятным многое из того, что Банк России подготовил в последнее время (например, требования Положений 683-П, 672-П) и каких нормативных актов банкам ожидать в ближайшем будущем. Особенно это касается сроков вступления в действие того или иного положения из нормативных документов Банка России. У банков появляется возможность в “ заранее известные сроки ” подготовиться к принятию той или иной “регуляторной новации”.
name='more'>
Так, например, было, когда Банк России в сентябре 2018 года представил проект “Положения о требованиях к системе управления оперриском в кредитной организации и банковской группе” (с обзором моно ознакомиться здесь ). Так происходит в настоящее время после того, как Банк России в декабре 2019 года обнародовал проект Положения Банка России 382-П и обозначил дату его вступления в силу - с 1 января 2023 года.
Новый проект Положения Банка России 382-П кардинально отличается от действующей редакции. Прежде всего тем, что в проекте отсутствует Приложение 1 “Порядок проведения оценки соответствия и документирования ее результатов”, а к требованию из действующей редакции о проведении ежегодного тестирования на проникновение и анализа уязвимостей информационной безопасности объектов информационной инфраструктуры в проекте 382-П добавлено требование проведения оценки соответствия уровням защиты информации в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 (п.1.2 абзац 4 в проекте).
В проекте 382-П в Приложении 1 теперь представлен перечень из 11 технологических мер для обеспечения защиты информации при осуществлении переводов денежных средств, а в Приложении 2 уточнено на каких технологических участках эти 11 мер требуется применять. На мой взгляд, очень практичные приложения получились и, главное, понятен алгоритм применения.
Напомню, что действующая редакция Положения № 382-П распространялась на операторов по переводу денежных средств (ОПДС), банковские платежные агенты (субагенты) (БПА), операторов платежных систем (ОПС), операторов услуг платежной инфраструктуры (ОУПИ). (Как пояснил Банк России, этим Положение 382-П старой редакции существенно отличалось от Положения № 683-П, которое распространяется только на кредитные организации).
В связи с принятием Федерального закона от 03.07.2019 № 173-ФЗ “О внесении изменений в Федеральный закон “О национальной платежной системе” и отдельные законодательные акты РФ”, был расширен круг субъектов национальной платежной системы (далее – НПС), а в проекте Положения 382-П соответственно установлены требования по защите информации при осуществлении переводов денежных средств в отношении введенных новых субъектов НПС: платежного агрегатора (ПА), поставщика платежного приложения (ППП), оператора услуг информационного обмена (ОУИО).
В проекте 382-П, как и ожидалось, появились ссылки на ГОСТ Р 57580.1-2017 и требование к ОПДС, БПА, ОУИО, ОУПИ обеспечить реализацию уровней защиты информации для объектов информационной инфраструктуры, используемых для обработки, передачи, хранения защищаемой информации в целях осуществления переводов денежных средств, определенных национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 (п.1.2 в проекте).
В проекте 382-П появились также ссылки на Положение Банка России от 17 апреля 2019 года № 683-П.
В проекте 382-П кредитным организациям (а точнее - ОПДС) необходимо обеспечить контроль за соблюдением банковскими платежными агентами (субагентами) требований к обеспечению защиты информации при осуществлении переводов денежных средств в соответствии с договором между ОПДС и банковским платежным агентом.
В проекте 382-П прописана передача в Банк России не только сведений об инцидентах защиты информации от кредитных организаций (ОПДС), но и полученных ОПДС от привлекаемых им банковских платежных агентов (субагентов), операторов услуг информационного обмена (банкам необходимо предусмотреть соответствующие требования в своих договорах с банковскими платежными агентами и (или) операторами услуг информационного обмена).
Напомню, что согласно 173-ФЗ (статья 6, п.4) кредитные организации обязаны направлять с 1 июля 2020 года в Банк России сведения:
1) о поставщиках платежных приложений для включения их в перечень поставщиков платежных приложений;
2) о банковских платежных агентах, осуществляющих деятельность платежных агрегаторов, для включения их в перечень банковских платежных агентов, осуществляющих деятельность платежных агрегаторов.
Согласно 683-П (пп. 3.1, п.3) банкам необходимо обеспечить с 01.01.2021 реализацию требований ГОСТ Р 57580.1-2017:
- системно значимые КО - усиленный уровень (уровень 1) защиты информации по ГОСТ Р 57580.1-2017;
- остальные КО - стандартный уровень (уровень 2) защиты информации ГОСТ Р 57580.1-2017.
Банки надеялись, что аудит по 382-П (один раз в два года) вот-вот должны отменить в связи с необходимостью реализации с 01.01.2021 требований ГОСТ Р 57580.1-2017. Однако, в течение 2021-22 г.г. банки будут вынуждены проводить аудиты и по 382-П и по ГОСТ Р 57580.1-2017 (с 01.01.2021, один раз в два года) с привлечением сторонних организаций, имеющих соответствующую лицензию на проведение работ и услуг.
Далее приводится сравнительный анализ отдельных схожих требований действующей редакции Положения № 382-П от 2012 года и проекта 2023.
Таблица 1. Сравнение названий и целей Положений № 382-П
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Сравнение названий Положений № 382-П: действующего и проекта
“О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств”
“О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств ”
Сравнение целей Положений № 382-П: действующего и проекта
“настоящее Положение устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств (далее - требования к обеспечению защиты информации при осуществлении переводов денежных средств), а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе”
“настоящее Положение устанавливает требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры, а также устанавливает порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках осуществляемого Банком России надзора в национальной платежной системе”
В проекте 382-П, как было указано выше, появились требования к обеспечению защиты информации для новых субъектов НПС: “операторов услуг информационного обмена (ОУИО)”, “поставщиков платежных приложений (ППП)”.
Таблица 2. Сравнение отдельных схожих положений
действующего 382-П и проекта 382-П

Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.2
Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при назначении и распределении функциональных прав и обязанностей (далее - ролей) лиц, связанных с осуществлением переводов денежных средств;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации на стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при осуществлении доступа к объектам информационной инфраструктуры, включая требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от несанкционированного доступа;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации от воздействия программных кодов, приводящих к нарушению штатного функционирования средства вычислительной техники (далее - вредоносный код);
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет");
(в ред. Указания Банка России от 14.08.2014 N 3361-У)
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые для защиты информации при использовании СКЗИ;
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием взаимоувязанной совокупности организационных мер защиты информации и технических средств защиты информации, применяемых для контроля выполнения технологии обработки защищаемой информации при осуществлении переводов денежных средств (далее - технологические меры защиты информации);
требования к организации и функционированию подразделения (работников), ответственного (ответственных) за организацию и контроль обеспечения защиты информации (далее - служба информационной безопасности);
требования к повышению осведомленности работников оператора по переводу денежных средств, банковского платежного агента (субагента), являющегося юридическим лицом, оператора услуг платежной инфраструктуры и клиентов (далее - повышение осведомленности) в области обеспечения защиты информации;
требования к выявлению инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, и реагированию на них;
требования к определению и реализации порядка обеспечения защиты информации при осуществлении переводов денежных средств;
требования к оценке выполнения оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств;
требования к доведению оператором по переводу денежных средств, оператором услуг платежной инфраструктуры до оператора платежной системы информации об обеспечении в платежной системе защиты информации при осуществлении переводов денежных средств;
требования к совершенствованию оператором платежной системы, оператором по переводу денежных средств, оператором услуг платежной инфраструктуры защиты информации при осуществлении переводов денежных средств.
Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры к инцидентам, связанным с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств, должен относить события, которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента, неоказанию услуг по переводу денежных средств, в том числе включенные в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, и размещаемый Банком России на официальном сайте Банка России в сети Интернет (далее - перечень типов инцидентов).
(в ред. Указания Банка России от 07.05.2018 N 4793-У)
Пункт 1.1
Требования к обеспечению защиты информации при осуществлении переводов денежных средств включают в себя:
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация и использование которых обеспечивается операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами услуг платежной инфраструктуры для осуществления переводов денежных средств (далее – объекты информационной инфраструктуры);
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении прикладного программного обеспечения автоматизированных систем и приложений;
требования к обеспечению защиты информации при осуществлении переводов денежных средств, применяемые в отношении технологии обработки информации, подготавливаемой, обрабатываемой и хранимой на участках идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий в целях осуществления переводов денежных средств; формирования (подготовки), передачи и приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (далее – электронные сообщения); удостоверения права клиентов операторов по переводу денежных средств распоряжаться денежными средствами; осуществления переводов денежных средств; учета результатов осуществления переводов денежных средств; хранения электронных сообщений и информации об осуществленных переводах денежных средств (далее соответственно – защищаемая информация, технологические участки), в том числе к регистрации результатов совершения действий, связанных с осуществлением доступа к защищаемой информации, которая включает регистрацию действий работников, а также регистрацию действий клиентов операторов по переводу денежных средств, выполняемых с использованием автоматизированных систем, программного обеспечения (далее – требования в отношении технологии обработки защищаемой информации);
требования об информировании операторами по переводу денежных средств, операторами услуг платежной инфраструктуры Банка России об инцидентах (событиях), связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (далее – инциденты защиты информации), включенных в перечень типов инцидентов, согласованный с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, и размещаемый Банком России на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» (далее соответственно – сеть «Интернет», перечень типов инцидентов);
требования, реализуемые операторами платежных систем при определении правил платежной системы, выполнении иных обязанностей, предусмотренных Федеральным законом № 161-ФЗ;
требования к обеспечению защиты информации при осуществлении переводов денежных средств с использованием средств криптографической защиты информации (далее – СКЗИ).
Как видно выше формулировки “требований” полностью изменены. Часть требований в проекте 382-П перекликается с 683-П (п.5.2)
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры.
ежегодное тестирование на проникновение и анализ уязвимостей информационной безопасности объектов информационной инфраструктуры с учетом особенностей, предусмотренных пунктом 3.7 настоящего Положения;
Указание на п.3.7 связано с разным “типом” платёжных агентов (банковские платежные агенты (субагенты), являющиеся платежными агрегаторами, привлекаемые системно значимыми кредитными организациями, кредитными организациями, значимыми на рынке платежных услуг, должны обеспечить реализацию стандартного уровня защиты информации, то есть не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018, а иные банковские платежные агенты (субагенты) должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 (четвертый уровень защиты выше третьего уровня).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

проведение оценки соответствия уровням защиты информации, установленным настоящим Положением (далее – оценка соответствия защиты информации), в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия», утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 28 марта 2018 года № 156-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2018) (далее – ГОСТ Р 57580.2-2018).
В проекте 382-П ожидаемо появился новый пункт со ссылкой на ГОСТ Р 57580.2-2018 “Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия”.
Разным субъектам НПС – (за редким исключением) один уровень соответствия – не ниже четвертого (напомню: в Положении Банка России 683-П, а именно в пп. 9.2, п.9 прописано, что кредитные организации должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 - с 1 января 2021 года, и не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 - с 1 января 2023 года.
В проекте 382-П промежуточный срок (с 1 января 2021 года) готовности кредитных организаций (ОПДС) опущен и указан только окончательный срок (с 1 января 2023 года):
- Операторы по переводу денежных средств должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 (п.2.4 в проекте) - с 1 января 2023 года;
- Банковские платежные агенты (субагенты), указанные в абзаце втором пункта 3.4[1] настоящего Положения, должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 - с 1 января 2023 года;
Банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, должны обеспечить уровень соответствия не ниже третьего в соответствии с ГОСТ Р 57580.2-2018 (п.3.7 в проекте) - с 1 января 2023 года;
- Операторы услуг информационного обмена должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 (п.4.6 в проекте) - с 1 января 2023 года;
- Операторы услуг платежной инфраструктуры должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018 (п.7.8 в проекте) - с 1 января 2023 года.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Оценка соответствия должна осуществляться оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры с привлечением организаций, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами "б", "д" или "е" пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации N 79.(в ред. Указания Банка России от 07.05.2018 N 4793-У)

Оценка соответствия защиты информации должна осуществляться с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации» (Собрание законодательства Российской Федерации, 2012, № 7, ст. 863; 2016, № 26, ст. 4049) (далее соответственно – проверяющая организация, постановление Правительства Российской Федерации № 79).
Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.
Специально уточнено - “сторонних” организаций (как и в 683-П). Новое в проекте 382‑П: хранение отчета, подготовленного проверяющей организацией по результатам оценки соответствия защиты информации, не менее пяти лет начиная с даты его выдачи проверяющей организацией.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Абз. 2 пп. 2.5.5.1 п. 2.5 вступает в силу с 01.01.2020.
использование для осуществления переводов денежных средств прикладного программного обеспечения автоматизированных систем и приложений, сертифицированных в системе сертификации Федеральной службы по техническому и экспортному контролю на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, в соответствии с законодательством Российской Федерации или в отношении которых проведен анализ уязвимостей по требованиям к оценочному уровню доверия не ниже чем ОУД 4 в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности", утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года N 1340-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2014) (далее - ГОСТ Р ИСО/МЭК 15408-3-2013).
Пункт 1.3
В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении прикладного программного обеспечения автоматизированных систем и приложений, операторы по переводу денежных средств, банковские платежные агенты (субагенты), не указанные в абзаце втором пункта 3.4 настоящего Положения, операторы услуг информационного обмена, операторы услуг платежной инфраструктуры, не указанные в абзаце втором пункта 7.5 настоящего Положения, должны обеспечивать сертификацию в системе сертификации Федеральной службы по техническому и экспортному контролю в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий в целях осуществления переводов денежных средств, а также программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием сети «Интернет» на соответствие требованиям по безопасности информации, включая требования по анализу уязвимостей и контролю отсутствия недекларированных возможностей, или обеспечение проведения анализа уязвимостей по требованиям к оценочному уровню доверия (далее – ОУД) не ниже, чем ОУД 4, в соответствии с требованиями национального стандарта Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», утвержденного приказом Федерального агентства по техническому регулированию и метрологии от 8 ноября 2013 года № 1340-ст «Об утверждении национального стандарта» (М., ФГУП «Стандартинформ», 2014) (далее – ГОСТ Р ИСО/МЭК15408-3-2013).
Для проведения анализа уязвимостей в прикладном программном обеспечении автоматизированных систем и приложений операторам по переводу денежных средств, банковским платежным агентам (субагентам), не указанным в абзаце втором пункта 3.4 настоящего Положения, операторам услуг информационного обмена, операторам услуг платежной инфраструктуры, не указанным в абзаце втором пункта 7.5 настоящего Положения, необходимо привлекать организации, имеющие лицензию на осуществление деятельности по технической защите конфиденциальной информации на проведение работ и услуг, предусмотренных подпунктами «б», «д» или «е» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации № 79.
Для схожего с изложенным в действующим 382-П (абзац 2 пп. 2.5.5.1 п. 2.5) требования из Положения 683-П (пп. 4.1, п.4) было следующее разъяснение в Информационном письме Банка России от 31.12.2019 № ИН-014-56/105: "принимая во внимание, что для реализации предусмотренных пунктом 4 Положения № 683-П требований кредитным организациям необходимо провести комплекс организационных и технологических мероприятий, Банк России считает целесообразным применять к кредитным организациям меры за несоблюдение указанных требований с 1 июля 2020 года".
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.6.3
2.6.3. При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации своих работников при осуществлении доступа к защищаемой информации;
идентификацию, аутентификацию, авторизацию участников платежной системы при осуществлении переводов денежных средств;
определение порядка использования информации, необходимой для выполнения аутентификации;
регистрацию действий при осуществлении доступа своих работников к защищаемой информации;
регистрацию действий, связанных с назначением и распределением прав доступа к защищаемой информации.
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств, банковский платежный агент (субагент) обеспечивают:
выполнение процедур идентификации, аутентификации, авторизации лиц, осуществляющих доступ к программному обеспечению банкоматов и платежных терминалов;
выполнение процедур идентификации и контроль деятельности лиц, осуществляющих техническое обслуживание банкоматов и платежных терминалов;
регистрацию действий, связанных с назначением и распределением прав клиентов, предоставленных им в автоматизированных системах, входящих в состав объектов информационной инфраструктуры и используемых для осуществления переводов денежных средств (далее - автоматизированные системы), и программном обеспечении, входящем в состав объектов информационной инфраструктуры и используемом для осуществления переводов денежных средств (далее - программное обеспечение);
регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации в соответствии с абзацем одиннадцатым настоящего подпункта подлежит следующая информация о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) осуществления действия клиента;
набор символов, присвоенный клиенту и позволяющий идентифицировать его в автоматизированной системе, программном обеспечении (далее - идентификатор клиента);
код, соответствующий выполняемому действию;
идентификационная информация, используемая для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, MAC-адрес, номер SIM-карты, номер телефона и (или) иной идентификатор устройства (далее - идентификатор устройства).
Банковский платежный агент (субагент) обеспечивает регистрацию действий клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, при наличии технической возможности с учетом выполняемого перечня операций и используемых автоматизированных систем, программного обеспечения, эксплуатация которых обеспечивается банковским платежным агентом (субагентом).
Оператор по переводу денежных средств обеспечивает хранение информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта, не менее пяти лет, начиная с даты осуществления клиентом действия, выполняемого с использованием автоматизированной системы, программного обеспечения.
Оператор по переводу денежных средств определяет во внутренних документах:
порядок формирования уникального идентификатора клиента в автоматизированной системе, программном обеспечении;
перечень кодов действий клиентов, выполняемых при осуществлении переводов денежных средств с использованием автоматизированной системы, программного обеспечения;
подлежащий регистрации идентификатор устройства;
порядок регистрации и хранения информации, указанной в абзацах тринадцатом - шестнадцатом настоящего подпункта.
Оператор по переводу денежных средств определяет требования к порядку, форме и срокам передачи ему информации о действиях клиентов, выполняемых с использованием автоматизированных систем, программного обеспечения, регистрируемой банковскими платежными агентами (субагентами).
При осуществлении доступа к защищаемой информации, находящейся на объектах информационной инфраструктуры, указанных в подпункте 2.6.1 настоящего пункта, оператор по переводу денежных средств обеспечивает регистрацию действий с информацией о банковских счетах, включая операции открытия и закрытия банковских счетов.
(пп. 2.6.3 в ред. Указания Банка России от 05.06.2013 N 3007-У)
Пункт 1.4
В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении технологии обработки защищаемой информации операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры на всех технологических участках должны обеспечивать:
целостность и достоверность защищаемой информации;
регламентацию, реализацию, контроль (мониторинг) технологии обработки защищаемой информации;
регистрацию результатов совершения действий, связанных с осуществлением доступа к защищаемой информации.

Пункт 1.5
Операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы услуг платежной инфраструктуры должны обеспечивать регистрацию результатов совершения следующих действий, связанных с осуществлением доступа к защищаемой информации:
идентификации, аутентификации и авторизации клиентов операторов по переводу денежных средств при совершении действий с целью осуществления переводов денежных средств;
приема электронных сообщений от клиентов операторов по переводу денежных средств;
приема (передачи) электронных сообщений при взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры при осуществлении переводов денежных средств, в том числе для удостоверения права на осуществление переводов денежных средств и учета результатов переводов денежных средств;
реализации мер двойного контроля, применяемых в соответствии с подпунктом 1.9 пункта 1 приложения 1 к настоящему Положению;
осуществления доступа работников к защищаемой информации и осуществления действий клиентов операторов по переводу денежных средств с защищаемой информацией, выполняемых с использованием автоматизированных систем, программного обеспечения.
Регистрации подлежат данные о действиях работников, выполняемых с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) совершения работником действий с защищаемой информацией;
присвоенный работнику идентификатор, позволяющий установить работника в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения работником действия с защищаемой информацией (успешная или неуспешная);
информация, используемая для идентификации устройств, с использованием которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией.
Регистрации подлежат действия клиентов операторов по переводу денежных средств, выполняемые с использованием автоматизированных систем, программного обеспечения:
дата (день, месяц, год) и время (часы, минуты, секунды) совершения клиентом оператора по переводу денежных средств действий с защищаемой информацией;
присвоенный клиенту оператора по переводу денежных средств идентификатор, позволяющий установить клиента оператора по переводу денежных средств в автоматизированной системе, программном обеспечении;
код, соответствующий технологическому участку;
результат совершения клиентом оператора по переводу денежных средств действия с защищаемой информацией (успешная или неуспешная);
информация, используемая для идентификации устройств, с использованием которых либо в отношении которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью совершения действий с защищаемой информацией
В проекте 382-П появился подробный перечень данных о действиях работников (по аналогии с 683-П), выполняемых с использованием автоматизированных систем и программного обеспечения, которые необходимо регистрировать. Также в перечне действий клиентов (по аналогии с 683-П), выполняемых с использованием автоматизированных систем и программного обеспечения появился новый параметр для регистрации: “результат совершения клиентом оператора по переводу денежных средств действия с защищаемой информацией (успешная или неуспешная)”.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.13(1)
2.13.(1) Оператор по переводу денежных средств, оператор услуг платежной инфраструктуры должны осуществлять информирование Банка России:
о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в том числе включенных в перечень типов инцидентов;
о планируемых мероприятиях по раскрытию информации об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, включая размещение информации на официальных сайтах в сети Интернет, выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до проведения мероприятия.
Информирование осуществляется в форме предоставления оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке предоставления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации согласно части 6 статьи 5 Федерального закона от 26 июля 2017 года N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" (Собрание законодательства Российской Федерации, 2017, N 31, ст. 4736), и размещается на официальном сайте Банка России в сети "Интернет".
(п. 2.13.(1) введен Указанием Банка России от 07.05.2018 N 4793-У)
Пункт 1.6
В части требований к обеспечению защиты информации при осуществлении переводов денежных средств, применяемых в отношении информирования Банка России об инцидентах защиты информации операторы по переводу денежных средств, операторы услуг платежной инфраструктуры должны осуществлять информирование Банка России:
о выявленных инцидентах защиты информации, в том числе включенных в перечень типов инцидентов;
о планируемых мероприятиях по раскрытию информации об инцидентах защиты информации, включая размещение информации на официальных сайтах в сети «Интернет», выпуск пресс-релизов и проведение пресс-конференций не позднее одного рабочего дня до проведения мероприятия.
Информирование осуществляется в форме предоставления оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в Банк России сведений, указанных в абзацах втором и третьем настоящего пункта. Информация о форме и сроке предоставления указанных сведений подлежит согласованию с федеральным органом исполнительной власти, уполномоченным в области обеспечения функционирования государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации согласно пункту 1 части 2 статьи 9 Федерального закона от 26 июля 2017 года № 187- ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации» (Собрание законодательства Российской Федерации, 2017, № 31, ст. 4736) (далее – Федеральный закон № 187-ФЗ), и размещается на официальном сайте Банка России в сети «Интернет».
Требования по информированию Банка России со стороны ОПДС и ОУПИ в разных редакциях 382-П совпадают.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Пункт 1.7
В случае если защищаемая информация содержит персональные данные, операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг информационного обмена, операторы платежных систем, операторы услуг платежной инфраструктуры должны применять меры по обеспечению безопасности персональных данных при их обработке в соответствии со статьей 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст. 3451; 2011, № 31, ст. 4701).
Новое в проекте 382-П – в явном виде ссылка на 152-ФЗ. Пункт 1.7 382-П почти в точности повторяет п.1 из Положения Банка России 683-П.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.9
Защита информации при осуществлении переводов денежных средств с использованием СКЗИ осуществляется в следующем порядке.
2.9.1 Обеспечение защиты информации с помощью СКЗИ осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года N 63-ФЗ "Об электронной подписи" (Собрание законодательства Российской Федерации, 2011, N 15, ст. 2036; N 27, ст. 3880; 2012, N 29, ст. 3988; 2013, N 14, ст. 1668; N 27, ст. 3463, ст. 3477; 2014, N 11, ст. 1098; N 26, ст. 3390; 2016, N 1, ст. 65; N 26, ст. 3889), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350 (далее - Положение ПКЗ-2005), и технической документацией на СКЗИ.
(в ред. Указания Банка России от 07.05.2018 N 4793-У)
Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года N 33620.
(в ред. Указания Банка России от 07.05.2018 N 4793-У)
В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.
2.9.2. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ, которые:
допускают встраивание СКЗИ в технологические процессы осуществления переводов денежных средств, обеспечивают взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований.
2.9.3. В случае применения СКЗИ оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок применения СКЗИ, включающий:
порядок ввода в действие, включая процедуры встраивания СКЗИ в автоматизированные системы, используемые для осуществления переводов денежных средств;
порядок эксплуатации СКЗИ;
порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе;
порядок внесения изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ;
порядок снятия с эксплуатации СКЗИ;
порядок управления ключевой системой;
порядок обращения с носителями криптографических ключей, включая порядок применения организационных мер защиты информации и использования технических средств защиты информации, предназначенных для предотвращения несанкционированного использования криптографических ключей, и порядок действий при смене и компрометации ключей.
2.9.4. Криптографические ключи изготавливаются клиентом (самостоятельно), оператором услуг платежной инфраструктуры и (или) оператором по переводу денежных средств.
Безопасность процессов изготовления криптографических ключей СКЗИ обеспечивается комплексом технологических мер защиты информации, организационных мер защиты информации и технических средств защиты информации в соответствии с технической документацией на СКЗИ.
2.9.5. Оператор платежной системы определяет необходимость использования СКЗИ, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации.
Пункт 1.8
Обеспечение защиты информации при осуществлении переводов денежных средств с использованием СКЗИ операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, операторами платежных систем, операторами услуг платежной инфраструктуры осуществляется в соответствии с Федеральным законом от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» (Собрание законодательства Российской Федерации, 2011, № 15, ст. 2036; 2016, № 26, ст. 3889) (далее – Федеральный закон № 63-ФЗ), Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года № 66, зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года № 6382, 25 мая 2010 года № 17350 (далее – Положение ПКЗ-2005), и технической документацией на СКЗИ.
Обеспечение защиты персональных данных с помощью СКЗИ осуществляется в соответствии с приказом Федеральной службы безопасности Российской Федерации от 10 июля 2014 года № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности», зарегистрированным Министерством юстиции Российской Федерации 18 августа 2014 года № 33620.
В случае если оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры применяют СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты уполномоченного государственного органа.
Ссылки на нормативные правовые акты, касающиеся защиты информации при осуществлении переводов денежных средств с использованием СКЗИ, в основном, совпадают. К операторам по переводу денежных средств (ОПДС), банковским платежным агентам (субагентам) БПА, операторам услуг платежной инфраструктуры (ОУПИ) операторам платежных систем (ОПС) добавились операторы услуг информационного обмена (ОУИО).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Пункт 1.9
При взаимодействии операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры должно обеспечиваться подписание электронных сообщений усиленной квалифицированной электронной подписью.

Пункт 1.10
Признание электронных сообщений, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью, должно осуществляться в соответствии со статьей 6 Федерального закона № 63-ФЗ.
Новое в проекте 382-П – пункты 1.9, 1.10. При информационном взаимодействии субъектов НПС – обеспечение подписания электронных сообщений усиленной квалифицированной электронной подписью.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств


Пункт 2.1
Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются для обеспечения защиты следующей информации (далее - защищаемая информация):
информации об остатках денежных средств на банковских счетах;
информации об остатках электронных денежных средств;
информации о совершенных переводах денежных средств, в том числе информации, содержащейся в извещениях (подтверждениях), касающихся приема к исполнению распоряжений участников платежной системы, а также в извещениях (подтверждениях), касающихся исполнения распоряжений участников платежной системы; требование об отнесении информации о совершенных переводах денежных средств к защищаемой информации, хранящейся в операционных центрах платежных систем с использованием платежных карт или находящихся за пределами Российской Федерации, устанавливается оператором платежной системы;
информации, содержащейся в оформленных в рамках применяемой формы безналичных расчетов распоряжениях клиентов операторов по переводу денежных средств (далее - клиентов), распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;
информации о платежных клиринговых позициях;
информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, в том числе данных держателей платежных карт;
ключевой информации средств криптографической защиты информации (далее - СКЗИ), используемых при осуществлении переводов денежных средств (далее - криптографические ключи);
информации о конфигурации, определяющей параметры работы автоматизированных систем, программного обеспечения, средств вычислительной техники, телекоммуникационного оборудования, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее - объекты информационной инфраструктуры), а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
(в ред. Указания Банка России от 05.06.2013 N 3007-У)
информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, обрабатываемой при осуществлении переводов денежных средств.

Пункт 2.15.2
Оператор по переводу денежных средств, оператор платежной системы, оператор услуг платежной инфраструктуры обеспечивают проведение оценки соответствия не реже одного раза в два года, а также по требованию Банка России.
Организация, ставшая оператором по переводу денежных средств, оператором платежной системы, оператором услуг платежной инфраструктуры, должна провести первую оценку соответствия в течение шести месяцев после получения соответствующего статуса.
(абзац введен Указанием Банка России от 05.06.2013 N 3007-У)
Глава 2. Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами по переводу денежных средств

Пункт 2.1
Операторы по переводу денежных средств должны обеспечивать выполнение требований к обеспечению защиты информации при осуществлении банковской деятельности, связанной с осуществлением перевода денежных средств, в соответствии с Положением Банка России от 17 апреля 2019 года № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента», зарегистрированным Министерством юстиции Российской Федерации 16 мая 2019 года № 54637 (далее – Положение Банка России от 17 апреля 2019 года № 683-П).

Пункт 2.2
Требования к обеспечению защиты информации при осуществлении переводов денежных средств применяются операторами по переводу денежных средств для обеспечения защиты защищаемой информации, указанной в пункте 1 Положения Банка России от 17 апреля 2019 года № 683-П, а также следующей информации:
информации об остатках денежных средств на банковских счетах клиента;
информации об остатках электронных денежных средств;
информации о конфигурации, определяющей параметры работы объектов информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации.

Пункт 2.3
Операторы по переводу денежных средств должны обеспечить проведение оценки соответствия защиты информации не реже одного раза в два года.

Пункт 2.4
Операторы по переводу денежных средств должны обеспечить уровень соответствия не ниже четвертого в соответствии с ГОСТ Р 57580.2-2018.

Пункт 2.5
Оператор по переводу денежных средств устанавливает порядок информирования оператора по переводу денежных средств привлекаемыми им банковскими платежными агентами (субагентами), операторами услуг информационного обмена о выявленных инцидентах защиты информации. Оператор по переводу денежных средств по запросу обеспечивает направление в Банк России полученных от привлекаемых им банковских платежных агентов (субагентов), операторов услуг информационного обмена сведений об инцидентах защиты информации.
Новое в проекте 382-П – передача в Банк России сведений об инцидентах защиты информации, полученных ОПДС от привлекаемых ими банковских платежных агентов (субагентов), операторов услуг информационного обмена (банкам необходимо прописать соответствующие требования в своих договорах с банковскими платежными агентами и (или) операторами услуг информационного обмена).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.8.3
Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием системы Интернет-банкинга, в том числе указанные в подпункте 2.10.7 пункта 2.10 настоящего Положения.
(пп. 2.8.3 в ред. Указания Банка России от 07.05.2018 N 4793-У)

Пункт 2.10.5
При осуществлении переводов денежных средств с использованием сети Интернет и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер по использованию раздельных информационно-коммуникационных технологий для подготовки электронных сообщений, содержащих распоряжения клиента на перевод денежных средств, и передачи клиентами подтверждений об исполнении распоряжений на перевод денежных средств (далее - технологические меры по использованию раздельных технологий) и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.
(пп. 2.10.5 введен Указанием Банка России от 07.05.2018 N 4793-У)
Пункт 2.6
Оператор по переводу денежных средств на основании заявления клиента, переданного способом, определенным договором оператора по переводу денежных средств с клиентом, должен установить ограничения по параметрам операций, которые могут осуществляться клиентом с использованием сети «Интернет», в том числе указанные в пункте 2.8 настоящего Положения.

Пункт 2.7
При осуществлении переводов денежных средств с использованием сети «Интернет» и размещении программного обеспечения, используемого клиентом при осуществлении переводов денежных средств, на средствах вычислительной техники, для которых оператором по переводу денежных средств не обеспечивается непосредственный контроль защиты информации от воздействия вредоносного кода, оператору по переводу денежных средств необходимо обеспечить реализацию технологических мер и (или) реализовать ограничения по параметрам операций по осуществлению переводов денежных средств, определяемые договором оператора по переводу денежных средств с клиентом, а также обеспечить возможность установления указанных ограничений по инициативе клиента.
Требования, связанные с использованием клиентом сети “Интернет” при осуществлении переводов денежных средств, о реализации банками технологических мер и (или) установке ограничений на параметры клиентских операций почти не изменились.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.10.4
При эксплуатации объектов информационной инфраструктуры оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают:
защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации;
контроль (мониторинг) соблюдения установленной технологии подготовки, обработки, передачи и хранения электронных сообщений и защищаемой информации на объектах информационной инфраструктуры;
аутентификацию входных электронных сообщений;
взаимную (двустороннюю) аутентификацию участников обмена электронными сообщениями;
восстановление информации об остатках денежных средств на банковских счетах, информации об остатках электронных денежных средств и данных держателей платежных карт в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники;
сверку выходных электронных сообщений с соответствующими входными и обработанными электронными сообщениями при осуществлении расчетов в платежной системе;
выявление фальсифицированных электронных сообщений, в том числе имитацию третьими лицами действий клиентов при использовании электронных средств платежа, и осуществление операций, связанных с осуществлением переводов денежных средств, злоумышленником от имени авторизованного клиента (подмена авторизованного клиента) после выполнения процедуры авторизации.
Пункт 2.8
Реализуемые оператором по переводу денежных средств в соответствии с пунктом 2.7 настоящего Положения технологические меры должны обеспечивать реализацию:
механизмов идентификации и аутентификации клиента при формировании (подготовке) клиентом и при подтверждении клиентом электронных сообщений в соответствии с требованиями законодательства Российской Федерации;
механизмов двухфакторной аутентификации клиента при совершении действий с целью осуществления переводов денежных средств;
механизмов и (или) протоколов формирования и обмена электронных сообщений, обеспечивающих защиту электронных сообщений от искажения, фальсификации, переадресации, несанкционированного ознакомления и (или) уничтожения, ложной авторизации, в том числе аутентификации входных электронных сообщений;
взаимной (двухсторонней) аутентификации участников обмена средствами вычислительной техники операторов по переводу денежных средств, банковских платежных агентов (субагентов), операторов услуг информационного обмена, операторов услуг платежной инфраструктуры, клиентов операторов по переводу денежных средств;
возможности использования клиентом независимых программных сред для формирования (подготовки) и подтверждения электронных сообщений;
возможности контроля клиентом реквизитов распоряжений о переводе денежных средств при формировании (подготовке) электронных сообщений (пакета электронных сообщений) и их подтверждении;
установления временных ограничений на выполнение клиентом подтверждения электронных сообщений;
функций передаваемого клиенту программного обеспечения, используемого клиентом при осуществлении переводов денежных средств и предназначенного для установки на мобильные устройства клиента, связанных с выявлением модификации мобильного устройства клиента с использованием недекларируемых возможностей, в том числе деактивации (отключения) механизма разграничения доступа (далее - недекларируемая модификация мобильного устройства клиента), а также уведомления клиента о случаях недекларируемой модификации мобильного устройства клиента с указанием рисков использования такого устройства (при наличии технической возможности).
Состав возможных технологических мер в проекте 382-П (п.2.8) значительно расширен.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Пункт 2.10.7
При реализации ограничений по параметрам операций по осуществлению переводов денежных средств могут применяться следующие ограничения:
на максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;
на перечень возможных получателей денежных средств;
на временной период, в который могут быть совершены переводы денежных средств;
на географическое местоположение устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
на перечень идентификаторов устройств, с использованием которых может осуществляться подготовка и (или) подтверждение клиентом электронных сообщений;
на перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств.
Оператор по переводу денежных средств может применить иные ограничения по параметрам операций по осуществлению переводов денежных средств.
(пп. 2.10.7 введен Указанием Банка России от 07.05.2018 N 4793-У)
Пункт 2.9
При реализации ограничений по параметрам операций по осуществлению переводов денежных средств могут применяться следующие ограничения:
на максимальную сумму перевода денежных средств за одну операцию и (или) за определенный период времени;
на перечень возможных получателей денежных средств;
на временной период, в который могут быть совершены переводы денежных средств;
на географическое местоположение устройств, с использованием которых может осуществляться формирование (подготовка) и (или) подтверждение клиентом электронных сообщений;
на перечень идентификаторов устройств, с использованием которых может осуществляться формирование (подготовка) и (или) подтверждение клиентом электронных сообщений;
на перечень предоставляемых услуг, связанных с осуществлением переводов денежных средств.
Оператор по переводу денежных средств может применить иные ограничения по параметрам операций по осуществлению переводов денежных средств.
Ничего не изменилось: п.2.9 в проекте 382-П полностью идентичен п.2.10.7.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Пункт 2.10
Контроль за соблюдением банковскими платежными агентами (субагентами) требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется оператором по переводу денежных средств в соответствии с договором между оператором по переводу денежных средств и банковским платежным агентом.
Получение оператором по переводу денежных средств информации о соблюдении оператором услуг информационного обмена, предоставляющим услуги информационного обмена оператору по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств осуществляется в соответствии с договором между оператором по переводу денежных средств и оператором услуг информационного обмена.
Новое в проекте 382-П – пункт 2.10. Банкам необходимо предусмотреть внесение требований п.2.10 в свои договоры с банковскими платежными агентами.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Пункт 2.11
Реализация операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств должна обеспечивать значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, формируемого на ежеквартальной основе, не более 0,005 процента.
Значение показателя, характеризующего уровень переводов денежных средств без согласия клиента, должно рассчитываться как отношение суммы денежных средств, в отношении которых получены уведомления от клиентов о списании денежных средств с их банковских счетов без их согласия за оцениваемый квартал, за исключением случаев, предусмотренных законодательством Российской Федерации, к общей сумме денежных средств, списанных с банковских счетов клиентов посредством осуществления переводов денежных средств.
Новое в проекте 382-П – пункт 2.11 (числовое значение показателя, характеризующего уровень переводов денежных средств без согласия клиента).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Пункт 2.12
При реализации оператором по переводу денежных средств подтверждения осуществления переводов денежных средств с использованием электронной почты, в том числе при предоставлении клиентам справок (выписок) по банковским операциям и банковским счетам, оператор по переводу денежных средств должен реализовывать механизмы подтверждения принадлежности клиенту адреса электронной почты, на который оператором по переводу денежных средств осуществляется направление клиенту уведомлений об осуществленных переводах денежных средств.
Новое в проекте 382-П – пункт 2.12. Банкам необходимо предусмотреть внесение требований п.2.12 в свои договоры на дистанционное банковское обслуживание с клиентами.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 3
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые банковскими платежными агентами (субагентами) при их привлечении в целях осуществления переводов денежных средств
Новое в проекте 382-П – глава 3 (касается банковских платёжных агентов (субъагентов).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 4
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами услуг информационного обмена при оказании услуг информационного обмена
Новое в проекте 382-П – глава 4 (касается операторов услуг информационного обмена).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 5
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые поставщиками платежных приложений при предоставлении операторам по переводу денежных средств платежных приложений для их применения клиентами операторов по переводу денежных средств
Новое в проекте 382-П – глава 5 (касается поставщиков платёжных приложений).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 6
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами платежных систем при определении правил платежной системы, выполнении иных обязанностей, предусмотренных Федеральным законом № 161-ФЗ
Новое в проекте 382-П – глава 6 (касается операторов платёжных систем).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 7
Требования к обеспечению защиты информации при осуществлении переводов денежных средств, выполняемые операторами услуг платежной инфраструктуры при осуществлении деятельности операционного центра, платежного клирингового центра и расчетного центра
Новое в проекте 382-П – глава 7 (касается операторов услуг платёжной инфраструктуры).
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П
Глава 3
Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Пункт 3.1
Контроль за соблюдением операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств осуществляется Банком России в следующем порядке:
Банк России проводит проверки операторов платежных систем, являющихся кредитными организациями, операторов услуг платежной инфраструктуры, являющихся кредитными организациями, операторов по переводу денежных средств, являющихся кредитными организациями, и инспекционные проверки операторов платежных систем, не являющихся кредитными организациями, операторов услуг платежной инфраструктуры, не являющихся кредитными организациями;
Банк России запрашивает и получает у операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств документы и информацию, в том числе содержащую персональные данные, о деятельности операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, связанной с выполнением требований к обеспечению защиты информации при осуществлении переводов денежных средств; требует разъяснения по полученной информации;
Банк России запрашивает и получает у операторов по переводу денежных средств документы и информацию, в том числе содержащую персональные данные, о деятельности операторов по переводу денежных средств по обеспечению контроля соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.

Пункт 3.2
Проверки операторов платежных систем, являющихся кредитными организациями, операторов услуг платежной инфраструктуры, являющихся кредитными организациями, операторов по переводу денежных средств, являющихся кредитными организациями, проводятся на основании статьи 73 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2003, N 2, ст. 157; N 52, ст. 5032; 2004, N 27, ст. 2711; N 31, ст. 3233; 2005, N 25, ст. 2426; N 30, ст. 3101; 2006, N 19, ст. 2061; N 25, ст. 2648; 2007, N 1, ст. 9, ст. 10; N 10, ст. 1151; N 18, ст. 2117; 2008, N 42, ст. 4696, ст. 4699; N 44, ст. 4982; N 52, ст. 6229, ст. 6231; 2009, N 1, ст. 25; N 29, ст. 3629; N 48, ст. 5731; 2010, N 45, ст. 5756; 2011, N 7, ст. 907; N 27, ст. 3873; N 43, ст. 5973) в соответствии с порядком, установленным Инструкцией Банка России от 25 августа 2003 года N 105-И "О порядке проведения проверок кредитных организаций (их филиалов) уполномоченными представителями Центрального банка Российской Федерации", зарегистрированной Министерством юстиции Российской Федерации 26 сентября 2003 года N 5118, 28 января 2005 года N 6284, 15 ноября 2006 года N 8479, 23 апреля 2007 года N 9310, 8 октября 2008 года N 12417, 6 апреля 2009 года N 13684, 13 октября 2010 года N 18715, 31 декабря 2010 года N 19515 ("Вестник Банка России" от 9 декабря 2003 года N 67, от 9 февраля 2005 года N 7, от 20 декабря 2006 года N 70, от 25 апреля 2007 года N 23, от 15 октября 2008 года N 57, от 15 апреля 2009 года N 23, от 20 октября 2010 года N 57, от 19 января 2011 года N 2).
Указанные проверки могут осуществляться с участием территориального учреждения Банка России (его структурного подразделения, к компетенции которого относятся вопросы защиты информации) по местонахождению кредитной организации (ее филиала).

Пункт 3.3
Инспекционные проверки операторов платежных систем, не являющихся кредитными организациями, операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, проводятся в соответствии с порядком, установленным Банком России на основании Федерального закона N 161-ФЗ.
Указанные инспекционные проверки могут осуществляться с участием территориального учреждения Банка России (его структурного подразделения, к компетенции которого относятся вопросы защиты информации) по местонахождению оператора платежной системы, не являющегося кредитной организацией, оператора услуг платежной инфраструктуры, не являющегося кредитной организацией.
Глава 8
Порядок осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств

Пункт 8.1
При осуществлении контроля за соблюдением операторами по переводу денежных средств, банковскими платежными агентами (субагентами), операторами услуг информационного обмена, поставщиками платежных приложений, операторами платежных систем, операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении переводов денежных средств Банк России в рамках надзора в национальной платежной системе осуществляет следующие мероприятия.
8.1.1. Анализирует информацию (в том числе данные отчетности) о деятельности операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств в целях контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств.
8.1.2. Запрашивает и получает документы и информацию, в том числе содержащие персональные данные:
у операторов платежных систем, операторов услуг платежной инфраструктуры и операторов по переводу денежных средств, являющихся кредитными организациями, – в части выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств;
у операторов по переводу денежных средств, являющихся кредитными организациями, – в части обеспечения контроля соблюдения банковскими платежными агентами (субагентами), привлекаемыми к деятельности по оказанию услуг по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств, а также в части соблюдения оператором услуг информационного обмена, предоставляющим услуги информационного обмена оператору по переводу денежных средств, требований к защите информации при осуществлении переводов денежных средств.
8.1.3. Проводит проверки операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств, являющихся кредитными организациями, в соответствии с порядком, указанном в части 4 статьи 73 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» (Собрание законодательства Российской Федерации, 2002, № 28, ст. 2790; № 43, ст. 5973) (далее – Федеральный закон № 86-ФЗ).
Проводит инспекционные проверки операторов платежных систем и операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, в соответствии с порядком, указанном в статье 33 Федерального закона № 161-ФЗ.
8.1.4. Применяет меры к операторам платежных систем, операторам услуг платежной инфраструктуры, и операторам по переводу денежных средств, являющимся кредитными организациями, в соответствии с порядком, указанном в части 10 статьи 74 Федерального закона № 86-ФЗ.
Осуществляет действия и применяет меры принуждения в отношении операторов платежных систем и операторов услуг платежной инфраструктуры, не являющихся кредитными организациями, в соответствии с порядком, указанном в части 4 статьи 32 Федерального закона № 161-ФЗ.
Название главы 3 Положения 382-П и главы 8 проекта 382-П совпадают, но по смыслу – они разные.
Положение от 09.06.2012 № 382-П
Проект Положения № 382-П

Глава 9
Заключительные положения
Настоящее Положение в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от _________ № _________) вступает в силу с 1 января 2023 года, за исключением положений, для которых установлены иные сроки вступления их в силу.
Абзацы первый – второй и шестой пункта 6.7 настоящего Положения вступают в силу с 1 января 2024 года.
Абзацы третий – пятый пункта 6.7 настоящего Положения вступают в силу с 1 января 2031 года.
Со дня вступления в силу настоящего Положения признать утратившими силу:
Положение Банка России от 09 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 г. № 24575;
Указание Банка России от 05 июня 2013 года № 3007-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированное Министерством юстиции Российской Федерации 1 июля 2013 г. № 28930;
Указание Банка России от 14 августа 2014 года № 3361-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированное Министерством юстиции Российской Федерации 10 сентября 2014 г. № 34017;
Указание Банка России от 07 мая 2018 года № 4793-У «О внесении изменений в Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», зарегистрированное Министерством юстиции Российской Федерации 22 июня 2018 г. № 51411.
Главное в заключительной части проекта 382-П – это то, что новая редакция вступает в силу с 1 января 2023 года, за исключением положений, для которых установлены иные сроки вступления их в силу.[2]



[1] 3.4. Банковские платежные агенты (субагенты) должны обеспечить реализацию следующих уровней защиты информации для объектов информационной инфраструктуры в соответствии с ГОСТ Р 57580.1-2017.
Банковские платежные агенты (субагенты), являющиеся платежными агрегаторами, привлекаемые системно значимыми кредитными организациями, кредитными организациями, значимыми на рынке платежных услуг, должны обеспечить реализацию стандартного уровня защиты информации.
Банковские платежные агенты (субагенты), не указанные в абзаце втором настоящего пункта, должны обеспечить реализацию минимального уровня защиты информации.

[2] Оператору значимой платежной системы обеспечить использование в применяемых аппаратных модулях безопасности СКЗИ, реализующие иностранные криптоалгоритмы, имеющие подтверждение ФСБ – с 01.01.2024;
Оператору значимой платежной системы обеспечить использование в применяемых аппаратных модулях безопасности СКЗИ, реализующие отечественные криптоалгоритмы РФ, имеющие подтверждение ФСБ – с 01.01.2031.


Alt text

Цифровые следы - ваша слабость, и хакеры это знают.

Подпишитесь и узнайте, как их замести!

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)