"Стандарт Банка России "Безопасность финансовых (банковских) операций. Управление инцидентами информационной безопасности. О формах и сроках взаимодействия Банка России с участниками информационного обмена при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации" СТО БР БФБО-1.5-2018" (принят и введен в действие приказом Банка России от 14.09.2018 N ОД-2403)

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

СТАНДАРТ БАНКА РОССИИ

СТО БР БФБО-1.5-2018

БЕЗОПАСНОСТЬ ФИНАНСОВЫХ (БАНКОВСКИХ) ОПЕРАЦИЙ
УПРАВЛЕНИЕ ИНЦИДЕНТАМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

О ФОРМАХ И СРОКАХ
ВЗАИМОДЕЙСТВИЯ БАНКА РОССИИ С УЧАСТНИКАМИ ИНФОРМАЦИОННОГО
ОБМЕНА ПРИ ВЫЯВЛЕНИИ ИНЦИДЕНТОВ, СВЯЗАННЫХ С НАРУШЕНИЕМ
ТРЕБОВАНИЙ К ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ

Дата введения: 2018-11-01

Предисловие

1. ПРИНЯТ И ВВЕДЕН в действие приказом Банка России от 14 сентября 2018 года N ОД-2403.

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Банка России.

Введение

Настоящий стандарт определяет следующие аспекты взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями, субъектами национальной платежной системы (далее при совместном упоминании - участники информационного обмена) при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации:

форму представления данных, используемую участниками информационного обмена для регистрации в Банке России;

форму представления данных, используемую участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России;

форму запроса Банка России к участнику информационного обмена, обслуживающему получателя средств;

форму представления данных, используемую участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, и сроки их представления в Банк России;

форму информационного сообщения Банка России участнику информационного обмена, обслуживающему плательщика;

форму представления данных, используемую участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации;

форму информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации;

форму распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации;

форму представления данных, используемую участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, и сроки их представления в Банк России;

условия представления Банку России участниками информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации;

описание технологии подготовки и направления электронных сообщений при информационном обмене с Банком России.

Форма представления данных, используемая участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется в следующих случаях:

- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с требованиями Банка России [3];

- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента в соответствии с требованиями Банка России [4];

- при информировании Банка России кредитными организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, в соответствии с требованиями Банка России [5];

- при информировании Банка России некредитными финансовыми организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в соответствии с требованиями Банка России [6];

- при информировании Банка России операторами по переводу денежных средств о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];

Форма запроса Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:

при запросе у оператора по переводу денежных средств, обслуживающего получателя средств, включая оператора электронных денежных средств, информации, определяющей получателя средств, в соответствии с требованиями Банка России [4];

при направлении уведомления о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].

Форма представления данных, используемая участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:

при информировании Банка России оператором по переводу денежных средств, обслуживающим получателя средств, включая оператора электронных денежных средств, о конкретном получателе средств в соответствии с требованиями Банка России [4];

при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];

при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].

Форма информационного сообщения Банка России участнику информационного обмена, обслуживающему плательщика, применяется:

при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];

при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].

Форма представления данных, используемая участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется:

при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21];

при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, о снятии с их банковских (корреспондентских) счетов (субсчетов) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21].

Форма информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств применяется:

при направлении уведомления участнику информационного обмена в случае положительного результата контроля целостности и принятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21];

при направлении уведомления участнику информационного обмена в случае отрицательного результата контроля целостности и непринятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21].

Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при направлении информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в соответствии с требованиями Банка России [4].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при информировании Банка России оператором по переводу денежных средств, оператором услуг платежной инфраструктуры о вышеуказанных мероприятиях в соответствии с требованиями Банка России [3].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении банковской деятельности, применяется при информировании Банка России кредитными организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [5].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении деятельности в сфере финасовых рынков, применяется при информировании Банка России некредитными финансовыми организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [6].

Настоящий стандарт устанавливает форму и сроки взаимодействия Банка России с участниками информационного обмена по выявлению инцидентов, связанных с нарушением требований к обеспечению защиты информации.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах участников информационного обмена, а также в договорах.

Обязательность применения настоящего стандарта иными организациями может быть установлена соглашением о взаимодействии с Банком России по вопросам противодействия компьютерным атакам.

В настоящем стандарте использованы ссылки на следующие документы:

Федеральный закон от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" [1];

Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];

Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];

Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];

Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];

Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].

В настоящем стандарте применяются термины в соответствии со следующими документами:

Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];

Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];

Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];

Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" [19];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];

Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].

3.1. К инцидентам, связанным с нарушениями требований к обеспечению защиты информации, относятся:

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности;

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков;

инциденты, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств;

инциденты, связанные с неоказанием или несвоевременным оказанием финансовых (банковских) услуг.

3.2. Для целей настоящего стандарта под инцидентом, связанным с нарушением требований к обеспечению защиты информации, понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести или привели к следующим негативным последствиям:

переводу денежных средств без согласия клиента;

проведению финансовой (банковской) операции без согласия клиента;

неоказанию или несвоевременному оказанию услуг по переводу денежных средств;

неоказанию или несвоевременному оказанию финансовых (банковских) услуг.

К событиям защиты информации относятся следующие события:

а) получение уведомлений участниками информационного обмена, в том числе:

при получении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;

при выявлении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети Интернет;

получение расчетным центром платежной системы от участников платежной системы уведомлений о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;

получение уведомлений от клиентов - физических лиц, и (или) индивидуальных предпринимателей, и (или) лиц, занимающихся в установленном законодательством Российской Федерации порядке частной практикой, и (или) юридических лиц о проведении финансовой (банковской) операции без их согласия;

б) идентифицированное возникновение и (или) изменение состояния совокупности объектов и ресурсов доступа, средств и систем обработки информации, в том числе автоматизированных систем (далее - АС), используемых для обеспечения информатизации бизнес-процессов и (или) технологических процессов участников информационного обмена, приводящее к следующим последствиям:

выявлению оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и получению наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;

выполнению финансовых (банковских) операций в результате несанкционированного доступа к объектам информационной инфраструктуры некредитной финансовой организации;

осуществлению несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах;

осуществлению несанкционированного снятия денежных средств оператора электронных денежных средств в банкоматах;

неоказанию или несвоевременному оказанию оператором по переводу денежных средств услуг по переводу денежных средств;

неоказанию или несвоевременному оказанию расчетным центром значимой платежной системы расчетных услуг;

неоказанию или несвоевременному оказанию платежным клиринговым центром значимой платежной системы услуг платежного клиринга;

неоказанию или несвоевременному оказанию операционным центром значимой платежной системы операционных услуг;

неоказанию или несвоевременному оказанию финансовых (банковских) услуг;

выявлению оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры атак, последствия от реализации которых могут привести к случаям и попыткам осуществления переводов денежных средств без согласия клиента.

DDoS (Distributed Denial of Service) - распределенная атака типа "отказ в обслуживании" с одновременным использованием большого числа атакующих компьютеров, целью которой, как правило, является частичное нарушение штатного функционирования информационной инфраструктуры организации

IPv4 (Internet Protocol version 4) - четвертая версия интернет-протокола

URL (Uniform Resource Locator) - единый указатель ресурса

АС - автоматизированная система

БИН - банковский идентификационный номер - часть номера, расположенного на платежной карте, используемая для идентификации банка-эмитента в рамках "карточной" платежной системы при авторизации, процессинге и клиринге

Ботнет - компьютерная сеть, состоящая из узлов с запущенным однотипным централизованно управляемым вредоносным программным обеспечением

ВК - вредоносный код

ВВК - воздействие вредоносного кода

КИИ - критическая информационная инфраструктура

ОГРН - основной государственный регистрационный номер

ОКОПФ - Общероссийский классификатор организационно-правовых форм

ОКТМО - Общероссийский классификатор территорий муниципальных образований

ОС - операционная система

Сеть Интернет - информационно-телекоммуникационная сеть "Интернет"

СКЗИ - средство криптографической защиты информации

СНИЛС - страховой номер индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации