11 ноября 2022

Оглавление

Глава 1. Общие положения

1.1. Настоящие Методические рекомендации разработаны в целях обеспечения единства подходов к расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление «Технологические меры») и требований к прикладному программному обеспечению автоматизированных систем и приложений (направление «Безопасность программного обеспечения») при составлении отчетности об оценке выполнения требований к обеспечению защиты информации.

1.2. Настоящими Методическими рекомендациями рекомендуется руководствоваться следующим отчитывающимся организациям:

кредитным организациям при составлении отчетности по форме 0409071 «Сведения об оценке выполнения кредитными организациями требований к обеспечению защиты информации»;

операторам услуг платежной инфраструктуры, осуществляющим деятельность операционных центров и (или) платежных клиринговых центров, не являющимся кредитными организациями, при составлении отчетности по форме 0403202 «Сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра».

Глава 2. Рекомендации по расчету значений показателей оценки выполнения требований к технологическим мерам защиты информации (направление «Технологические меры»)

2.1. Расчет значений показателей оценки выполнения требований к технологическим мерам защиты информации по направлению «Технологические меры» рекомендуется осуществлять в отношении требований, указанных в приложении 1 к настоящим Методическим рекомендациям (далее для целей настоящей главы — «требования»).

2.2. По направлению «Технологические меры» осуществляется расчет значений следующих показателей:

 — оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

 — обобщающий показатель уровня оценки соответствия по направлению «Технологические меры».

2.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Определена ли область применения меры защиты информации?»;

«Определен ли порядок применения меры защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («определено»);

0 — «нет» («не определено»).

2.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («постоянно», «всегда», «в полном объеме»);

0,75 — «в основном «да» («почти постоянно», «почти всегда», «почти в полном объеме»);

0,5 — «частично» («отчасти да», «не всегда», «в некоторых случаях»);

0,25 — «в основном «нет» («непостоянно», «почти никогда»);

0 — «нет» («никогда», «ни в каких случаях»).

2.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации  , рекомендуется рассчитывать по формуле:

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников кредитной организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Обеспечен ли контроль области применения меры защиты информации?»;

«Обеспечен ли контроль надлежащего применения меры защиты информации?»;

«Обеспечен ли контроль знаний работников кредитной организации в части применения меры защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («контроль обеспечен»);

0 — «нет» («контроль не обеспечен»).

2.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?»;

«Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («анализ совершенствования осуществляется»);

0 — «нет» («анализ совершенствования не осуществляется»).

2.7. Значение обобщающего показателя уровня оценки соответствия по направлению «Технологические меры»  рекомендуется рассчитывать по формуле:

 ,

где  — значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.3 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 2.4 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 2.5 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 2.6 настоящей главы.

Глава 3. Рекомендации по расчету значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений (направление «Безопасность программного обеспечения»)

3.1. Расчет значений показателей оценки выполнения требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению «Безопасность программного обеспечения» рекомендуется осуществлять в отношении требований, указанных в приложении 2 к настоящим Методическим рекомендациям (далее для целей настоящей главы — «требования»).

3.2. По направлению «Безопасность программного обеспечения» осуществляется расчет значений следующих показателей:

 — оценка, характеризующая выполнение требований в рамках процесса планирования применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса реализации применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса контроля применения мер защиты информации;

 — оценка, характеризующая выполнение требований в рамках процесса совершенствования применения мер защиты информации;

 — обобщающий показатель уровня оценки соответствия по направлению «Безопасность программного обеспечения».

3.3. Значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения области применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации по вопросу определения порядка применения меры защиты информации.

В рамках процесса планирования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Определена ли область применения меры защиты информации?»;

«Определен ли порядок применения меры защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («определено»);

0 — «нет» («не определено»).

3.4. Значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований, указанных в приложении 2 к настоящим методическим рекомендациям;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса реализации мер защиты информации.

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («постоянно», «всегда», «в полном объеме»);

0,75 — «в основном «да» («почти постоянно», «почти всегда», «почти в полном объеме»);

0,5 — «частично» («отчасти да», «не всегда», «в некоторых случаях»);

0,25 — «в основном «нет» («непостоянно», «почти никогда»);

0 — «нет» («никогда», «ни в каких случаях»).

3.5. Значение оценки, характеризующей выполнение требований в рамках процесса контроля реализации мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля области применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля надлежащего применения меры защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации по вопросу контроля знаний работников кредитной организации в части применения меры защиты информации.

В рамках процесса контроля применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Обеспечен ли контроль области применения меры защиты информации?»;

«Обеспечен ли контроль надлежащего применения меры защиты информации?»;

«Обеспечен ли контроль знаний работников кредитной организации в части применения меры защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («контроль обеспечен»);

0 — «нет» («контроль не обеспечен»).

3.6. Значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации  , рекомендуется рассчитывать по формуле:

 ,

где i — порядковый номер оцениваемых требований;

N — общее количество требований;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации;

 — значение оценки i-й меры защиты информации, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации по вопросу анализа необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации.

В рамках процесса совершенствования применения мер защиты информации оценку требований рекомендуется осуществлять по следующим вопросам:

«Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения инцидентов защиты информации?»;

«Осуществляется ли анализ необходимости совершенствования меры защиты информации в случае обнаружения недостатков в рамках контроля применения мер защиты информации?».

Оценку ответов на вопросы рекомендуется производить путем присвоения им следующих значений:

1 — «да» («анализ совершенствования осуществляется»);

0 — «нет» («анализ совершенствования не осуществляется»).

3.7. Значение обобщающего показателя уровня оценки соответствия по направлению «Безопасность программного обеспечения»  рекомендуется рассчитывать по формуле:

 ,

где  — значение оценки, характеризующей выполнение требований в рамках процесса планирования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.3 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса реализации мер защиты информации, рассчитанное в соответствии с пунктом 3.4 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса контроля применения мер защиты информации, рассчитанное в соответствии с пунктом 3.5 настоящей главы;

 — значение оценки, характеризующей выполнение требований в рамках процесса совершенствования применения мер защиты информации, рассчитанное в соответствии с пунктом 3.6 настоящей главы.

Глава 4. Заключительные положения

4.1. Настоящие Методические рекомендации подлежат официальному опубликованию на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет».

Заместитель Председателя
Банка России
Р.Н. Вестеровский

Приложение 1
к Методическим рекомендациям
по расчету значений показателей оценки
выполнения требований к
технологическим мерам защиты
информации и прикладному
программному обеспечению
автоматизированных систем и
приложений в целях составления
отчетности об оценке выполнения
требований к обеспечению защиты
информации

Перечень требований к технологическим мерам защиты информации по направлению «Технологические меры»

1. Рекомендуемый перечень требований, установленных Положением Банка России от 17.04.2019 № 683-П «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента» (с изменениями) (далее — Положение Банка России № 683-П) в отношении кредитных организаций, выполнение которых оценивается при выборе кода вида деятельности «Банк», приведен в таблице 1.1 настоящего приложения.

2. Рекомендуемый перечень требований, установленных Положением Банка России от 04.06.2020 № 719-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение Банка России № 719-П) в отношении кредитных организаций, выполнение которых оценивается при выборе кода вида деятельности «ОПДС», приведен в таблице 1.2 настоящего приложения.

3. Рекомендуемый перечень требований, установленных Положением Банка Росси от 23.12.2020 № 747-П «О требованиях к защите информации в платежной системе Банка России» (далее — Положение Банка России № 747-П) в отношении кредитных организаций, выполнение которых оценивается при выборе кода вида деятельности «Участник ПС БР», приведен в таблице 1.3 настоящего приложения.

4. Рекомендуемый перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность расчетного центра, выполнение которых оценивается при выборе кода вида деятельности «ОУПИ РЦ», приведен в таблице 1.4 настоящего приложения.

5. Рекомендуемый перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность операционного центра, выполнение которых оценивается при выборе кода вида деятельности «ОУПИ ОЦ», «ОЦ», приведен в таблице 1.5 настоящего приложения.

6. Рекомендуемый перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность платежного клирингового центра, выполнение которых оценивается при выборе кода вида деятельности «ОУПИ ПКЦ», «ПКЦ», приведен в таблице 1.6 настоящего приложения.

Таблица 1.1. Перечень требований, установленных Положением Банка России № 683-П в отношении кредитных организаций

№ п/пТребование к технологическим мерам защиты информации
Общие требования к обеспечению защиты информации
1Требование подпункта 5.1 пункта 5
2Требование пункта 6
Требования к обеспечению защиты информации, применяемые на всех технологических участках, указанных в пункте 5.2
3Требование абзаца третьего подпункта 5.2.1 пункта 5
4Требование абзаца семнадцатого подпункта 5.2.1 пункта 5
Требования к обеспечению защиты информации, применяемые на технологическом участке идентификации, аутентификации и авторизации клиентов при совершении действий в целях осуществления банковских операций
5Требование абзаца второго подпункта 5.2.1 пункта 5
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема документов, связанных с осуществлением переводов денежных средств, составленных в электронном виде (далее — электронные сообщения)
6Требование абзаца пятого подпункта 5.2.1 пункта 5
7Требование абзаца шестого подпункта 5.2.1 пункта 5
8Требование абзаца седьмого подпункта 5.2.1 пункта 5
9Требование абзаца восьмого подпункта 5.2.1 пункта 5
10Требование абзаца девятого подпункта 5.2.1 пункта 5
Требования к обеспечению защиты информации, применяемые на технологическом участке удостоверения права клиентов кредитных организаций распоряжаться денежными средствами
11Требование абзаца одиннадцатого подпункта 5.2.1 пункта 5
12Требование абзаца двенадцатого подпункта 5.2.1 пункта 5
Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления банковской операции и учета результатов ее осуществления
13Требование абзаца четырнадцатого подпункта 5.2.1 пункта 5
14Требование абзаца пятнадцатого подпункта 5.2.1 пункта 5
15Требование абзаца шестнадцатого подпункта 5.2.1 пункта 5

Таблица 1.2. Перечень требований, установленных Положением Банка России № 719-П в отношении кредитных организаций

№ п/пТребование к технологическим мерам защиты информации
1Требование абзаца второго пункта 2.9
2Требование абзаца третьего пункта 2.9
3Требование абзаца четвертого пункта 2.9
4Требование абзаца пятого пункта 2.9
5Требование абзаца шестого пункта 2.9
6Требование абзаца седьмого пункта 2.9
7Требование абзаца восьмого пункта 2.9
8Требование абзаца девятого пункта 2.9

Таблица 1.3. Перечень требований, установленных Положением Банка России № 747-П в отношении кредитных организаций

№ п/пТребование к технологическим мерам защиты информации
Требования к обеспечению защиты информации в платежной системе Банка России для участника обмена, осуществляющего переводы денежных средств с использованием сервиса срочного перевода и сервиса несрочного перевода (далее — участник ССНП), и для участника обмена, осуществляющего переводы денежных средств с использованием сервиса быстрых платежей (далее — участник СБП)
1Требование абзаца второго подпункта 7.2 пункта 7
2Требование абзаца третьего подпункта 7.2 пункта 7
3Требование абзаца четвертого подпункта 7.2 пункта 7
Требования к обеспечению защиты информации в платежной системе Банка России для участника СБП при обмене электронными сообщениями при осуществлении переводов денежных средств
4Требование подпункта 14.1 пункта 14
5Требование абзаца второго подпункта 14.2 пункта 14
6Требование абзаца третьего подпункта 14.2 пункта 14
7Требование абзаца четвертого подпункта 14.2 пункта 14
Требования к обеспечению защиты информации в платежной системе Банка России для участника ССНП при передаче электронных сообщений в Банк России
8Требование абзаца второго подпункта 14.3 пункта 14
9Требование абзаца третьего подпункта 14.3 пункта 14
10Требование абзаца четвертого подпункта 14.3 пункта 14
11Требование абзаца пятого подпункта 14.3 пункта 14
12Требование абзаца шестого подпункта 14.3 пункта 14

Таблица 1.4. Перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность расчетного центра

№ п/пТребование к технологическим мерам защиты информации
Требования по реализации технологических мер защиты информации при осуществлении операторами услуг платежной инфраструктуры, осуществляющими деятельность расчетных центров (далее — РЦ), операций по исполнению поступивших от платежного клирингового центра (далее — ПКЦ) электронных сообщений ПКЦ, операторов по переводу денежных средств посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений
1Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при приеме РЦ поступивших от ПКЦ, операционных центров (далее — ОЦ) электронных сообщений ПКЦ, операторов по переводу денежных средств в целях списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
2Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при направлении РЦ в адрес ПКЦ электронных сообщений, содержащих извещения об исполнении посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств, поступивших от ПКЦ электронных сообщений
3Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при приеме РЦ поступивших от ПКЦ, ОЦ электронных сообщений ПКЦ, операторов по переводу денежных средств в целях списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
4Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при направлении РЦ в адрес ПКЦ электронных сообщений, содержащих извещения об исполнении посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств, поступивших от ПКЦ электронных сообщений
5Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при приеме РЦ поступивших от ПКЦ, ОЦ электронных сообщений ПКЦ, операторов по переводу денежных средств в целях списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
6Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при направлении РЦ в адрес ПКЦ электронных сообщений, содержащих извещения об исполнении посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств, поступивших от ПКЦ электронных сообщений
7Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при направлении РЦ в адрес ПКЦ электронных сообщений, содержащих извещения об исполнении посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств, поступивших от ПКЦ электронных сообщений
8Требование подпункта 1.9 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению № Банка России 719-П при направлении РЦ в адрес ПКЦ электронных сообщений, содержащих извещения об исполнении посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств, поступивших от ПКЦ электронных сообщений
Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления операций по переводу денежных средств, учета результатов их осуществления
9Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при исполнении РЦ поступивших от ПКЦ электронных сообщений ПКЦ, операторов по переводу денежных средств посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
10Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при исполнении РЦ поступивших от ПКЦ электронных сообщений ПКЦ, операторов по переводу денежных средств посредством списания и зачисления денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке хранения электронных сообщений и информации об осуществленных переводах денежных средств
11Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при хранении РЦ информации об осуществленных списаниях и зачислениях денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств
12Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при хранении РЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии РЦ с операторами услуг платежной инфраструктуры
13Требование подпункта 1.11 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 10 приложения 2 к Положению Банка России № 719-П при хранении РЦ информации об осуществленных списаниях и зачислениях денежных средств по банковским (корреспондентским) счетам операторов по переводу денежных средств

Таблица 1.5. Перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность операционного центра

№ п/пТребование к технологическим мерам защиты информации
Требования к обеспечению защиты информации при обмене электронными сообщениями между операторами по переводу денежных средств, между операторами по переводу денежных средств и их клиентами, ПКЦ, РЦ, между ПКЦ и РЦ
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений
1Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при приеме и передаче электронных сообщений между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры
2Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при приеме и передаче электронных сообщений между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры
3Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при приеме и передаче электронных сообщений между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры
4Требование подпункта 1.9 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при приеме и передаче электронных сообщений между операторами по переводу денежных средств и их клиентами, операторами услуг платежной инфраструктуры
Требования к обеспечению защиты информации, применяемые на технологическом участке хранения электронных сообщений и информации об осуществленных переводах денежных средств
5Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при хранении ОЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ОЦ с операторами по переводу денежных средств, их клиентами, операторами услуг платежной инфраструктуры
6Требование подпункта 1.11 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 6 приложения 2 к Положению Банка России № 719-П при хранении ОЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ОЦ с операторами по переводу денежных средств, их клиентами, операторами услуг платежной инфраструктуры

Таблица 1.6. Перечень требований, установленных Положением Банка России № 719-П в отношении операторов услуг платежной инфраструктуры, осуществляющих деятельность платежного клирингового центра

№ п/пТребование к технологическим мерам защиты информации
Требования к обеспечению защиты информации при осуществлении операций по выполнению процедур приема к исполнению электронных сообщений операторов по переводу денежных средств, включая проверку соответствия электронных сообщений операторов по переводу денежных средств установленным требованиям, определение достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств и определение платежных клиринговых позиций
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений
1Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при приеме ПКЦ электронных сообщений операторов по переводу денежных средств
2Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения, касающиеся приема к исполнению электронных сообщений операторов по переводу денежных средств
3Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при приеме ПКЦ электронных сообщений операторов по переводу денежных средств
4Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при приеме ПКЦ электронных сообщений операторов по переводу денежных средств
5Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения, касающиеся приема к исполнению электронных сообщений операторов по переводу денежных средств
6Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения, касающиеся приема к исполнению электронных сообщений операторов по переводу денежных средств
7Требование подпункта 1.9 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения, касающиеся приема к исполнению электронных сообщений операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке осуществления операций по переводу денежных средств, учета результатов их осуществления
8Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при проверке ПКЦ соответствия электронных сообщений операторов по переводу денежных средств установленным требованиям
9Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры
10Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ платежных клиринговых позиций для исполнения принятых электронных сообщений операторов по переводу денежных средств
11Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры
12Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры
13Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры
14Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ платежных клиринговых позиций для исполнения принятых электронных сообщений операторов по переводу денежных средств
15Требование подпункта 1.9 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при определении ПКЦ достаточности денежных средств для исполнения электронных сообщений операторов по переводу денежных средств, в том числе путем обмена электронными сообщениями с операторами услуг платежной инфраструктуры
Требования к обеспечению защиты информации, применяемые на технологическом участке хранения электронных сообщений и информации об осуществленных переводах денежных средств
16Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению Банка России № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры
17Требование подпункта 1.11 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 7 приложения 2 к Положению № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры
Требования к обеспечению защиты информации при передаче РЦ для исполнения электронных сообщений ПКЦ, принятых электронных сообщений операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений
18Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при формировании ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передаче электронных сообщений в адрес операторов услуг платежной инфраструктуры
19Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при формировании ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передаче электронных сообщений в адрес операторов услуг платежной инфраструктуры
20Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при формировании ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передаче электронных сообщений в адрес операторов услуг платежной инфраструктуры
21Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при формировании ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передаче электронных сообщений в адрес операторов услуг платежной инфраструктуры
22Требование подпункта 1.9 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при формировании ПКЦ электронных сообщений по осуществлению операций по банковским (корреспондентским) счетам операторов по переводу денежных средств, передаче электронных сообщений в адрес операторов услуг платежной инфраструктуры
Требования к обеспечению защиты информации, применяемые на технологическом участке хранения электронных сообщений и информации об осуществленных переводах денежных средств
23Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры
24Требование подпункта 1.11 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 8 приложения 2 к Положению Банка России № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры
Требования к обеспечению защиты информации при направлении операторам по переводу денежных средств извещений (подтверждений), касающихся приема к исполнению электронных сообщений операторов по переводу денежных средств, а также передаче извещений (подтверждений), касающихся исполнения электронных сообщений операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке формирования (подготовки), передачи и приема электронных сообщений
25Требование подпункта 1.3 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения о приеме, об исполнении принятых электронных сообщений операторов по переводу денежных средств
26Требование подпункта 1.4 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения о приеме, об исполнении принятых электронных сообщений операторов по переводу денежных средств
27Требование подпункта 1.6 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения о приеме, об исполнении принятых электронных сообщений операторов по переводу денежных средств
28Требование подпункта 1.8 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при направлении ПКЦ в адрес операторов по переводу денежных средств электронных сообщений, содержащих извещения о приеме, об исполнении принятых электронных сообщений операторов по переводу денежных средств
Требования к обеспечению защиты информации, применяемые на технологическом участке хранения электронных сообщений и информации об осуществленных переводах денежных средств
29Требование подпункта 1.10 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры
30Требование подпункта 1.11 пункта 1 приложения 1 к Положению Банка России № 719-П, реализуемое в соответствии со строкой 9 приложения 2 к Положению Банка России № 719-П при хранении ПКЦ электронных сообщений, обмен которыми осуществлялся при взаимодействии ПКЦ с операторами услуг платежной инфраструктуры

Приложение 2
к Методическим рекомендациям
по расчету значений показателей оценки
выполнения требований к
технологическим мерам защиты
информации и прикладному
программному обеспечению
автоматизированных систем и
приложений в целях составления
отчетности об оценке выполнения
требований к обеспечению защиты
информации

Перечень требований к прикладному программному обеспечению автоматизированных систем и приложений по направлению «Безопасность программного обеспечения»

1. Рекомендуемый перечень требований, установленных Положением Банка России № 683-П в отношении кредитных организаций, оцениваемый при выборе кода вида деятельности «Банк», приведен в таблице 2.1 настоящего приложения.

2. Рекомендуемый перечень требований, установленных Положением Банка России № 719-П в отношении операторов по переводу денежных средств, операторов услуг платежной инфраструктуры, выполнение которых оценивается при выборе кода вида деятельности «ОПДС», «ОУПИ РЦ», «ОУПИ ОЦ», «ОУПИ ПКЦ», «ОЦ» или «ПКЦ», приведен в таблице 2.2 настоящего приложения.

Таблица 2.1. Перечень требований, установленных Положением Банка России № 683-П в отношении кредитных организаций

№ п/пТребование к прикладному программному обеспечению автоматизированных систем и приложений
1Требование подпункта 4.1 пункта 4 Положения Банка России № 683-П (в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых кредитной организацией клиентам для совершения действий в целях осуществления банковских операций)
2Требование подпункта 4.1 пункта 4 Положения Банка России № 683-П (в отношении программного обеспечения, обрабатывающего защищаемую информацию на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»)

Таблица 2.2. Перечень требований, установленных Положением Банка России № 719-П в отношении операторов по переводу денежных средств, операторов услуг платежной инфраструктуры

№ п/пТребование к прикладному программному обеспечению автоматизированных систем и приложений
1Требование пункта 1.2 Положения Банка России № 719-П (в отношении прикладного программного обеспечения автоматизированных систем и приложений, распространяемых клиентам операторов по переводу денежных средств для совершения действий, непосредственно связанных с осуществлением переводов денежных средств)
2Требование пункта 1.2 Положения Банка России № 719-П (в отношении программного обеспечения, эксплуатируемого на участках, используемых для приема электронных сообщений к исполнению в автоматизированных системах и приложениях с использованием информационно-телекоммуникационной сети «Интернет»)
Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x