Положение Банка России № 683-П
Положение Банка России № 683-П – это отраслевой нормативно-правовой документ, который вводит новые стандарты обеспечения защиты информации для субъектов банковской деятельности, оказывающих населению финансовые услуги, в том числе по переводу денежных средств в безналичной форме.
Основные требования
Основная задача этого Положения – усилить безопасность переводов денежных средств с целью недопущения случаев переводов без согласия клиента. В Положении БР установлены следующие основные требования:
- Кредитные организации должны обеспечивать защиту информации на участках приема электронных сообщений с подтверждением при использовании в качестве канала связи сети Интернет.
- Финансовые учреждения, которые обслуживают безналичные переводы, должны с периодичностью в 1 год проводить тестирование информационной инфраструктуры на предмет возможного проникновения методом моделирования атаки злоумышленника (пентест).
- Для проведения анализа уязвимостей в используемом ПО коммерческие банки могут привлекать сторонние организации, которые имеют лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.
- Кредитные организации должны четко регламентировать, обеспечить реализацию и контроль за технологиями обработки защищаемой информации при осуществлении клиентами операций перевода денежных средств через Интернет.
К действиям, которые должны проводиться с использованием технологий защиты информации, относятся:
- идентификация плательщика в программном обеспечении;
- обмен сервисными сообщениями между клиентским приложением и процессинговым центром;
- подтверждение прав пользователя на распоряжение денежными средствами в безналичной форме;
- выполнение банковской операции и получение отчета о ее окончании;
- хранение информации о совершенных банковских операциях.
Сроки вступления в законную силу отдельных норм положения
Документ принят БР 17 апреля 2019 года, однако вступил в действие только через 10 дней после его опубликования согласно действующему порядку. Поэтому финансовые учреждения обязаны выполнять требования регулятора с 1 июня 2019 года.
Некоторые пункты положения (например, возможность привлечения сторонних компаний для тестирования) вступают в законную силу и обязательны для исполнения с 1 января 2020 года. 1 июля 2021 года вступает в действие требование об оценке соответствия стандартов защиты платежной информации и персональных данных согласно ГОСТ Р 57580.1-2017.
Предыдущая статья