Стандарт Банка России СТО БР БФБО-1.5-2018 “О Формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации” (принят и введен в действие приказом Банка России от 14 сентября 2018 года № ОД-2403)
Дата введения: 1 ноября 2018 г.
Введение
Настоящий стандарт определяет следующие аспекты взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями, субъектами национальной платежной системы (далее при совместном упоминании - участники информационного обмена) при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации:
форму представления данных, используемую участниками информационного обмена для регистрации в Банке России;
форму представления данных, используемую участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России;
форму запроса Банка России к участнику информационного обмена, обслуживающему получателя средств;
форму представления данных, используемую участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, и сроки их представления в Банк России;
форму информационного сообщения Банка России участнику информационного обмена, обслуживающему плательщика;
форму представления данных, используемую участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации;
форму информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации;
форму распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации;
форму представления данных, используемую участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России;
условия представления Банку России участниками информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации;
описание технологии подготовки и направления электронных сообщений при информационном обмене с Банком России.
Форма представления данных, используемая участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется в следующих случаях:
- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с требованиями Банка России [3];
- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента в соответствии с требованиями Банка России [4];
- при информировании Банка России кредитными организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, в соответствии с требованиями Банка России [5];
при информировании Банка России некредитными финансовыми организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в соответствии с требованиями Банка России [6];
- при информировании Банка России операторами по переводу денежных средств о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
Форма запроса Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:
при запросе у оператора по переводу денежных средств, обслуживающего получателя средств, включая оператора электронных денежных средств, информации, определяющей получателя средств, в соответствии с требованиями Банка России [4];
при направлении уведомления о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма представления данных, используемая участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:
при информировании Банка России оператором по переводу денежных средств, обслуживающим получателя средств, включая оператора электронных денежных средств, о конкретном получателе средств в соответствии с требованиями Банка России [4];
при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма информационного сообщения Банка России участнику информационного обмена, обслуживающему плательщика, применяется:
при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма представления данных, используемая участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется:
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21];
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, о снятии с их банковских (корреспондентских) счетов (субсчетов) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21].
Форма информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств применяется:
при направлении уведомления участнику информационного обмена в случае положительного результата контроля целостности и принятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21];
при направлении уведомления участнику информационного обмена в случае отрицательного результата контроля целостности и непринятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21].
Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при направлении информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в соответствии с требованиями Банка России [4].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при информировании Банка России оператором по переводу денежных средств, оператором услуг платежной инфраструктуры о вышеуказанных мероприятиях в соответствии с требованиями Банка России [3].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении банковской деятельности, применяется при информировании Банка России кредитными организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [5].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении деятельности в сфере финансовых рынков, применяется при информировании Банка России некредитными финансовыми организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [6].
1. Область применения
Настоящий стандарт устанавливает форму и сроки взаимодействия Банка России с участниками информационного обмена по выявлению инцидентов, связанных с нарушением требований к обеспечению защиты информации.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах участников информационного обмена, а также в договорах.
Обязательность применения настоящего стандарта иными организациями может быть установлена соглашением о взаимодействии с Банком России по вопросам противодействия компьютерным атакам.
2. Нормативные ссылки
В настоящем стандарте использованы ссылки на следующие документы:
Федеральный закон от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» [1];
Федеральный закон от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» [2];
Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [3];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];
Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];
Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];
Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].
3. Термины и определения
В настоящем стандарте применяются термины в соответствии со следующими документами:
Федеральный закон от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» [2];
Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [3];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];
Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];
Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];
Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности» [19];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];
Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].
3.1. К инцидентам, связанным с нарушениями требований к обеспечению защиты информации, относятся:
инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;
инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности;
инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков;
инциденты, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств;
инциденты, связанные с неоказанием или несвоевременным оказанием финансовых (банковских) услуг.
3.2. Для целей настоящего стандарта под инцидентом, связанным с нарушением требований к обеспечению защиты информации, понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести или привели к следующим негативным последствиям:
переводу денежных средств без согласия клиента;
проведению финансовой (банковской) операции без согласия клиента;
неоказанию или несвоевременному оказанию услуг по переводу денежных средств;
неоказанию или несвоевременному оказанию финансовых (банковских) услуг.
К событиям защиты информации относятся следующие события:
а) получение уведомлений участниками информационного обмена, в том числе:
при получении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
при выявлении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети Интернет;
получение расчетным центром платежной системы от участников платежной системы уведомлений о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
получение уведомлений от клиентов - физических лиц, и (или) индивидуальных предпринимателей, и (или) лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении финансовой (банковской) операции без их согласия;
б) идентифицированное возникновение и (или) изменение состояния совокупности объектов и ресурсов доступа, средств и систем обработки информации, в том числе автоматизированных систем (далее - АС), используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов участников информационного обмена, приводящее к следующим последствиям:
выявлению оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и получению наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
выполнению финансовых (банковских) операций в результате несанкционированного доступа к объектам информационной инфраструктуры некредитной финансовой организации;
осуществлению несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах;
осуществлению несанкционированного снятия денежных средств оператора электронных денежных средств в банкоматах;
неоказанию или несвоевременному оказанию оператором по переводу денежных средств услуг по переводу денежных средств;
неоказанию или несвоевременному оказанию расчетным центром значимой платежной системы расчетных услуг;
неоказанию или несвоевременному оказанию платежным клиринговым центром значимой платежной системы услуг платежного клиринга;
неоказанию или несвоевременному оказанию операционным центром значимой платежной системы операционных услуг;
неоказанию или несвоевременному оказанию финансовых (банковских) услуг;
выявлению оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры атак, последствия от реализации которых могут привести к случаям и попыткам осуществления переводов денежных средств без согласия клиента.
4. Обозначения и сокращения
DDoS (Distributed Denial of Service) - распределенная атака типа «отказ в обслуживании» с одновременным использованием большого числа атакующих компьютеров, целью которой, как правило, является частичное нарушение штатного функционирования информационной инфраструктуры организации
IPv4 (Internet Protocol version 4) - четвертая версия интернет-протокола
URL (Uniform Resource Locator) - единый указатель ресурса
АС - автоматизированная система
БИН - банковский идентификационный номер - часть номера, расположенного на платежной карте, используемая для идентификации банка-эмитента в рамках «карточной» платежной системы при авторизации, процессинге и клиринге
Ботнет - компьютерная сеть, состоящая из узлов с запущенным однотипным централизованно управляемым вредоносным программным обеспечением
ВК - вредоносный код
ВВК - воздействие вредоносного кода
КИИ - критическая информационная инфраструктура
ОГРН - основной государственный регистрационный номер
ОКОПФ - Общероссийский классификатор организационно-правовых форм
ОКТМО - Общероссийский классификатор территорий муниципальных образований
ОС - операционная система
Сеть Интернет - информационно-телекоммуникационная сеть «Интернет»
СКЗИ - средство криптографической защиты информации
СНИЛС - страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации
5. Форма представления данных, используемая участниками информационного обмена для регистрации в Банке России
6. Форма представления данных, используемая участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России
7. Форма запроса Банка России к участнику информационного обмена, обслуживающему получателя средств
8. Форма представления данных, используемая участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, и сроки их представления в Банк России
9. Форма информационного сообщения Банка России к участнику информационного обмена, обслуживающему плательщика
10. Форма представления в Банк России запроса от участников информационного обмена, использующих сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющихся подразделениями Банка России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена
11. Форма информационного сообщения Банка России об установлении (или снятии) на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств
12. Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации
13. Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России
14. Условия представления Банку России участниками информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации
15. Описание технологии подготовки и направления электронных сообщений при информационном обмене с Банком России
15.1. Технология подготовки электронного сообщения1
15.1.1. Подготовка электронного сообщения осуществляется с использованием:
* личного кабинета участника (https://lk.fincert.cbr.ru);
* специализированного приложения, устанавливаемого участником информационного обмена (далее - десктоп-приложение) (https://portal.fincert.ru);
15.1.2. Личный кабинет участника информационного обмена предоставляет возможность сформировать электронное сообщение посредством заполнения веб-формы для направления данных в соответствии с положениями настоящего стандарта.
15.1.3. Десктоп-приложение предоставляет возможность сформировать электронное сообщение посредством заполнения формы приложения для направления данных в соответствии с положениями настоящего стандарта.
15.2. Технология отправки электронного сообщения2
Передача информации осуществляется посредством информационных ресурсов Банка России в сети Интернет путем предоставления участникам информационного обмена доступа к личному кабинету (https://lk.fincert.cbr.ru).
Резервные способы передачи информации в Банк России используются участником информационного обмена только в случаях отсутствия телекоммуникационной доступности личного кабинета участника информационного обмена и (или) отсутствия технической возможности передачи информации.
К резервным способам передачи информации относятся:
- использование электронной почты (fincert@cbr.ru);
- использование телефонного звонка в Банк России (+7(495) 7727090)3.
15.2.1. При передаче информации с использованием электронной почты указывается тема обращения, сопроводительный текст, а также прикрепляются следующие файлы:
- электронное сообщение, сформированное в соответствии с разделом 15.1 настоящего стандарта;
- иные файлы, максимальный размер которых не должен превышать 25 Мб (в случае превышения указанного объема допускается возможность отправки файлов несколькими частями с архивированием в нескольких электронных письмах).
15.2.2. При передаче информации с использованием личного кабинета участника информационного обмена должны быть заполнены поля с пометкой «обязательные для заполнения» с возможностью прикрепления вложений объемом до 2 Гб;
15.2.3. В случае передачи на исследование образцов вредоносного программного обеспечения (вирусов) образцы передаются в Банк России в архиве (rar или zip) с одним из следующих паролей: virus или infected. В случае если в передаваемом архиве не установлен пароль, он удаляется автоматически.
------------------------------
1 Защита передаваемой информации реализуется с использованием сертифицированного СКЗИ, устанавливаемого в соответствии с документом БКМД.42 5790.520.ИЗ.2 «Руководство участника по работе с АСОИ ФинЦЕРТ» (используется сертифицированное СКЗИ «Континент-TLS»). Идентификация и аутентификация участника - отправителя информации в ФинЦЕРТ осуществляется на основе информации, переданной в ФинЦЕРТ (информация об участнике).
2 Защита передаваемой информации реализуется с использованием сертифицированного СКЗИ, устанавливаемого в соответствии с документом БКМД.42 5790.520.ИЗ.2 «Руководство участника по работе с АСОИ ФинЦЕРТ» (используется сертифицированное СКЗИ «Континент-TLS»). Идентификация и аутентификация участника - отправителя информации в ФинЦЕРТ осуществляется на основе информации, переданной в ФинЦЕРТ (информация об участнике).
3 Защита передаваемой голосовой информации не осуществляется. Идентификация звонящего осуществляется путем опроса звонящего о наименовании организации, ФИО, должности и контактном телефоне, которые сравниваются с карточкой участника.
------------------------------
Приложение 1. Схемы взаимодействия участника информационного обмена с Банком России
Приложение 2. Схемы взаимодействия Банка России с участником информационного обмена
Приложение 3. Диаграммы процессов взаимодействия участника информационного обмена с Банком России
3.1. Диаграмма регистрации участника информационного обмена и изменения регистрационных данных участника информационного обмена
3.2. Диаграмма информирования участником информационного обмена Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации
3.3. Диаграмма информирования участником информационного обмена Банка России обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, а также направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличении остатка электронных денежных средств получателя средств, невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств
3.4. Диаграмма информирования Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена
3.5. Диаграмма направления Банком России участнику информационного обмена информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации
3.6. Диаграмма направления участником информационного обмена в Банк России информации о планируемых мероприятиях по раскрытию информации об инцидентах, связанных с нарушением требований к обеспечению защиты информации
3.7. Примечание:
Пунктирными линиями на рисунках 1 - 6 изображены сообщения и компоненты, не являющиеся частью настоящего стандарта. Линии приведены для представления процесса взаимодействия участника информационного обмена и Банка России.
Библиография
1. Федеральный закон от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)».
2. Федеральный закон от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».
3. Положение Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».
4. Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
5. Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности.
6. Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков.
7. ISO 8583 - Financial transaction card originated messages - Interchange message specifications - Part 1: Messages, data elements and code values. URL: https://www.iso.Org/obp/ui/#iso:std:iso:8583:-1:ed-1:v1:en (дата обращения: 25.05.2018).
8. ISO 8583 - Financial transaction card originated messages - Interchange message specifications - Part 2: Application and registration procedures for Institution Identification Codes (IIС). URL: https://www.iso.Org/obp/ui/#iso:std:iso:8583:-2:ed-1:v1:en (дата обращения: 24.03.2018).
9. ISO 8583 - Financial transaction card originated messages - Interchange message specifications - Part 3: Maintenance procedures for messages, data elements and code values. URL: https://www.iso.Org/obp/ui/#iso:std:iso:8583:-3:ed-2:v1:en (дата обращения 17.04.2018).
10. ISO 4217 - Codes for the representation of currencies and funds. URL: https://www.iso.Org/obp/ui/#iso:std:iso:4217:ed-8:v1:en (дата обращения 25.02.2018).
11. RFC 3339 - Date and Time on the Internet: Timestamps. URL: https://www.rfc-editor.org/rfc/rfc3339.txt (дата обращения 02.02.2018).
12. RFC 791 - Internet Protocol. URL: https://www.rfc-editor.org/rfc/rfc791.txt (дата обращения 14.05.2018).
13. RFC 5890 - Internationalized Domain Names for Applications (IDNA): Definitions and Document Framework. URL: https://www.rfc-editor.org/rfc/rfc5890.txt (дата обращения 08.02.2018).
14. RFC 1034 - Domain names - concepts and facilities. URL: https://www.rfc-editor.org/rfc/rfc1034.txt (дата обращения: 15.03.2018).
15. RFC 3986 - Uniform Resource Identifier (URI): Generic Syntax. URL: https://www.rfc-editor.org/rfc/rfc3986.txt (дата обращения: 07.03.2018).
16.RFC 4122 - A Universally Unique IDentifier (UUID) URN Namespace. URL: https://www.rfc-editor.org/rfc/rfc4122.txt (дата обращения: 21.04.2018).
17. RFC 997 - Internet numbers. URL: https://www.rfc-editor.org/rfc/rfc997.txt (дата обращения: 23.01.2018).
18. RFC 5322 - Internet Message Format. URL: https://www.rfc-editor.org/rfc/rfc5322.txt (дата обращения: 24.01.2018).
19. Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности».
20. Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств.
21. Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России.
22. Положение Банка России от 06.07.2017 № 595-П «О платежной системе Банка России».
23. ISO 8601:2004 - Data elements and interchange formats - Information interchange - Representation of dates and times. URL: https://www.iso.org/ru/standard/40874.html (дата обращения 29.06.2018).
Обзор документа
Банк России установил, как он взаимодействует с кредитными организациями, некредитными финансовыми компаниями и субъектами национальной платежной системы при выявлении нарушений требований к защите информации. Приведены формы запросов и представления сведений.
В частности, Центробанк распространяет среди участников информационного обмена данные о выявленных инцидентах. Участники сообщают в ЦБ РФ об установлении и снятии с их банковских (корреспондентских) счетов (субсчетов) запрета на списание денежных средств.
Сообщения передаются через личный кабинет участника (https://lk.fincert.cbr.ru) или специализированное десктоп-приложение (https://portal.fincert.ru).
Стандарт применяется с 1 ноября 2018 г.