(Действующий) Стандарт Банка России СТО БР БФБО-1.5-2018 "Безопасность финансовых...

Докипедия просит пользователей использовать в своей электронной переписке скопированные части текстов нормативных документов. Автоматически генерируемые обратные ссылки на источник информации, доставят удовольствие вашим адресатам.

Действующий
условия представления Банку России участниками информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации;
описание технологии подготовки и направления электронных сообщений при информационном обмене с Банком России.
Форма представления данных, используемая участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется в следующих случаях:
- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с требованиями Банка России [3];
- при информировании Банка России операторами по переводу денежных средств, операторами услуг платежной инфраструктуры обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента в соответствии с требованиями Банка России [4];
- при информировании Банка России кредитными организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности, в соответствии с требованиями Банка России [5];
при информировании Банка России некредитными финансовыми организациями о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков, в соответствии с требованиями Банка России [6];
- при информировании Банка России операторами по переводу денежных средств о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
Форма запроса Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:
при запросе у оператора по переводу денежных средств, обслуживающего получателя средств, включая оператора электронных денежных средств, информации, определяющей получателя средств, в соответствии с требованиями Банка России [4];
при направлении уведомления о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма представления данных, используемая участниками информационного обмена для представления ответа на запрос Банка России к участнику информационного обмена, обслуживающему получателя средств, применяется:
при информировании Банка России оператором по переводу денежных средств, обслуживающим получателя средств, включая оператора электронных денежных средств, о конкретном получателе средств в соответствии с требованиями Банка России [4];
при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма информационного сообщения Банка России участнику информационного обмена, обслуживающему плательщика, применяется:
при направлении уведомления об успешном приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20];
при направлении уведомления о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств в соответствии с требованиями Банка России [20].
Форма представления данных, используемая участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется:
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21];
при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, о снятии с их банковских (корреспондентских) счетов (субсчетов) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21].
Форма информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств применяется:
при направлении уведомления участнику информационного обмена в случае положительного результата контроля целостности и принятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21];
при направлении уведомления участнику информационного обмена в случае отрицательного результата контроля целостности и непринятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21].
Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при направлении информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в соответствии с требованиями Банка России [4].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при информировании Банка России оператором по переводу денежных средств, оператором услуг платежной инфраструктуры о вышеуказанных мероприятиях в соответствии с требованиями Банка России [3].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении банковской деятельности, применяется при информировании Банка России кредитными организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [5].
Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении деятельности в сфере финансовых рынков, применяется при информировании Банка России некредитными финансовыми организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [6].

1. Область применения

Настоящий стандарт устанавливает форму и сроки взаимодействия Банка России с участниками информационного обмена по выявлению инцидентов, связанных с нарушением требований к обеспечению защиты информации.
Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах участников информационного обмена, а также в договорах.
Обязательность применения настоящего стандарта иными организациями может быть установлена соглашением о взаимодействии с Банком России по вопросам противодействия компьютерным атакам.

2. Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие документы:
Федеральный закон от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" [1];
Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];
Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];
Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];
Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];
Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].

3. Термины и определения

В настоящем стандарте применяются термины в соответствии со следующими документами:
Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];
Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];
Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];