Форма представления данных, используемая участниками информационного обмена для направления запроса в Банк России, об установлении (или снятии) на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется:

при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, об установлении на их банковские (корреспондентские) счета (субсчета) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21];

при информировании Банка России участниками информационного обмена, использующими сервис срочного перевода и сервис несрочного перевода для осуществления перевода денежных средств, не являющимися подразделениями Банка России, о снятии с их банковских (корреспондентских) счетов (субсчетов) ограничения в виде запрета на списание денежных средств при выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, на объектах информационной инфраструктуры участников информационного обмена в соответствии с требованиями Банка России [21].

Форма информационного сообщения Банка России об установлении или снятии на банковские (корреспондентские) счета (субсчета) участников информационного обмена ограничения в виде запрета на списание денежных средств применяется:

при направлении уведомления участнику информационного обмена в случае положительного результата контроля целостности и принятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21];

при направлении уведомления участнику информационного обмена в случае отрицательного результата контроля целостности и непринятия к исполнению запросов на установление или снятие ограничения в виде запрета на списание денежных средств в соответствии с требованиями Банка России [21].

Форма распространения Банком России среди участников информационного обмена данных о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при направлении информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в соответствии с требованиями Банка России [4].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации, применяется при информировании Банка России оператором по переводу денежных средств, оператором услуг платежной инфраструктуры о вышеуказанных мероприятиях в соответствии с требованиями Банка России [3].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении банковской деятельности, применяется при информировании Банка России кредитными организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [5].

Форма представления данных, используемая участниками информационного обмена для направления в Банк России информации о планируемых мероприятиях по раскрытию информации о выявленных инцидентах, связанных с нарушением требований к защите информации при осуществлении деятельности в сфере финансовых рынков, применяется при информировании Банка России некредитными финансовыми организациями о вышеуказанных мероприятиях в соответствии с требованиями Банка России [6].

1. Область применения

Настоящий стандарт устанавливает форму и сроки взаимодействия Банка России с участниками информационного обмена по выявлению инцидентов, связанных с нарушением требований к обеспечению защиты информации.

Настоящий стандарт рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних документах участников информационного обмена, а также в договорах.

Обязательность применения настоящего стандарта иными организациями может быть установлена соглашением о взаимодействии с Банком России по вопросам противодействия компьютерным атакам.

2. Нормативные ссылки

В настоящем стандарте использованы ссылки на следующие документы:

Федеральный закон от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)" [1];

Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];

Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];

Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];

Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];

Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].

3. Термины и определения

В настоящем стандарте применяются термины в соответствии со следующими документами:

Федеральный закон от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" [2];

Положение Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" [3];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры в Банк России информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента и получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также порядок реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента [4];

Нормативный акт Банка России, устанавливающий обязательные для кредитных организаций требования к обеспечению защиты информации при осуществлении банковской деятельности [5];

Нормативный акт Банка России, устанавливающий обязательные для некредитных финансовых организаций требования к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков [6];

Национальный стандарт Российской Федерации ГОСТ Р ИСО/МЭК 15408-3-2013 "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности" [19];

Нормативный акт Банка России, устанавливающий формы и порядок направления операторами по переводу денежных средств уведомлений о приостановлении зачисления денежных средств на банковский счет получателя средств или увеличения остатка электронных денежных средств получателя средств, о невозможности приостановления зачисления денежных средств на банковский счет получателя средств или приостановления увеличения остатка электронных денежных средств получателя средств [20];

Нормативный акт Банка России, устанавливающий требования к обеспечению защиты информации в платежной системе Банка России [21].

3.1. К инцидентам, связанным с нарушениями требований к обеспечению защиты информации, относятся:

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств;

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении банковской деятельности;

инциденты, связанные с нарушением требований к обеспечению защиты информации при осуществлении деятельности в сфере финансовых рынков;

инциденты, связанные с неоказанием или несвоевременным оказанием услуг по переводу денежных средств;

инциденты, связанные с неоказанием или несвоевременным оказанием финансовых (банковских) услуг.

3.2. Для целей настоящего стандарта под инцидентом, связанным с нарушением требований к обеспечению защиты информации, понимается одно или серия связанных нежелательных или неожиданных событий защиты информации, которые могут привести или привели к следующим негативным последствиям:

переводу денежных средств без согласия клиента;

проведению финансовой (банковской) операции без согласия клиента;

неоказанию или несвоевременному оказанию услуг по переводу денежных средств;

неоказанию или несвоевременному оказанию финансовых (банковских) услуг.

К событиям защиты информации относятся следующие события:

а) получение уведомлений участниками информационного обмена, в том числе:

при получении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;

при выявлении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети Интернет;

получение расчетным центром платежной системы от участников платежной системы уведомлений о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;