3. "Стандарт Банка России "Безопасность финансовых (банковских) операций. Обеспечение безопасности использования QR-кодов при осуществлении переводов денежных средств" СТО БР БФБО-1.9-2024" (принят и введен в действие приказом Банка России от 28.12.2024 N ОД-2367)

Настоящий стандарт развивает положения Банка России от 17.04.2019 N 683-П "Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента", от 17.08.2023 N 821-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" в части обеспечения защиты информации при осуществлении переводов денежных средств с использованием QR-кодов [1], [2].

В стандарте рассматриваются меры по обеспечению защиты QR-кодов и контроля информационной безопасности при их применении, специфические для переводов денежных средств с использованием QR-кодов на технологических участках "Формирование (подготовка), передача и прием электронных сообщений", "Удостоверение права клиентов распоряжаться денежными средствами" и "Осуществление банковской операции, учет результатов ее осуществления", а также на подэтапе "Формирование (подготовка), передача и прием QR-кода" технологического участка "Формирование (подготовка), передача и прием электронных сообщений".

Настоящий стандарт также определяет виды QR-кодов, которые используются организациями, угрозы и меры защиты в целях обеспечения безопасности информации ограниченного доступа, необходимой для осуществления переводов денежных средств с использованием QR-кодов.

Организации при использовании положений настоящего стандарта и внедрении мер защиты, направленных на минимизацию риска информационной безопасности, также должны руководствоваться моделью угроз безопасности информации, разработанной в таких организациях. Для выбора необходимых мер защиты организациям целесообразно определить актуальность представленных в настоящем стандарте угроз применимо к своим процессам, связанным с осуществлением переводов денежных средств с использованием QR-кодов.

При актуальности угроз организациям рекомендуется внедрить меры защиты, минимизирующие риск реализации соответствующих угроз. В случае неактуальности угроз, применимых к процессам организации, указанные в стандарте меры защиты не подлежат внедрению.

Настоящий стандарт включает приложения, в которых отражены способы представления QR-кодов для осуществления переводов денежных средств, состав данных QR-кода, схемы и описания различных процессов осуществления переводов денежных средств с использованием QR-кодов.