• 107016, Москва, ул. Неглинная, д. 12, к. В, Банк России
  • 8 800 300-30-00
  • www.cbr.ru
Что вы хотите найти?
Деятельность Финансовые рынки Документы и данные О Банке России Сервисы
Меры защиты финансового рынка
+
7 499 300-30-008 800 300-30-00300Бесплатно для звонков с мобильных телефонов
Новости Решения Банка России Контактная информация Карта сайта О сайте
Проверить участника финансового рынка
Национальная платежная система
Правовые акты

382-П

Положение Банка России «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»
от 09.06.2012 № 382-П

Ответы на типовые вопросы, связанные с реализацией Положения Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

Обновлено: 02.10.2020

Требования к защите персональных данных при осуществлении переводов денежных средств в настоящее время установлены Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», а также Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение № 382-П).

В настоящее время не завершено формирование нормативной базы, предусмотренной Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», поскольку Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю не утверждены все документы, предусмотренные статьей 19 данного закона. 

Ответ был полезен?
Обновлено: 02.10.2020
В соответствии с частью 1 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее — Федеральный закон № 161-ФЗ) Постановление Правительства Российской Федерации от 13 июня 2012 г. № 584 «Положение о защите информации в платежной системе» регулирует общие вопросы защиты информации. В соответствии с частью 3 Федерального закона № 161-ФЗ Положение № 382-П устанавливает требования к защите информации при осуществлении переводов денежных средств.
Ответ был полезен?
Обновлено: 02.10.2020

Положение № 382-П устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы платежных систем, операторы услуг платежной инфраструктуры обеспечивают защиту информации при осуществлении переводов денежных средств. Выполнение данных требований обеспечивается, в том числе, выбором организационных мер и технических средств защиты информации.

Требования к обеспечению защиты информации при осуществлении переводов денежных средств, установленные Положением № 382-П, обязательны к выполнению, при этом результаты оценки рисков оператор может учитывать при выборе организационных мер и технических средств защиты информации.

Ответ был полезен?
Обновлено: 02.10.2020

Информация, содержащаяся в уведомлении клиента о совершении операций с использованием электронного средства платежа, а также информация о переводах денежных средств, печатаемая на чеке банкомата, относится к информации о совершенных переводах денежных средств.

Обратите внимание на то, что оператор по переводу денежных средств не несет ответственности за обеспечение защиты информации при обработке, хранении и других действиях, производимых клиентом с переданной ему защищаемой информацией.

Ответ был полезен?
Обновлено: 02.10.2020
Оператор по переводу денежных средств, являющийся клиентом Банка России, при осуществлении переводов денежных средств с использованием платежной системы Банка России обязан исполнять и требования Положения № 382-П, и требования к защите информации, установленные договором об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России.
Ответ был полезен?
Обновлено: 02.10.2020
Оператор по переводу денежных средств самостоятельно принимает решения относительно порядка, формы, периодичности доведения до клиентов информации в соответствии с подпунктами 2.7.2, 2.8.2, 2.12.3 пунктов 2.7, 2.8 и 2.12, соответственно, Положения № 382-П, в частности, в зависимости от особенностей клиентской базы (физические или юридические лица, особенности и масштаб работы с клиентами и др.) и особенностей осуществления переводов денежных средств клиентами (использования электронных средств платежа, различные виды доступа к услугам банка и др.).
Ответ был полезен?
Обновлено: 02.10.2020

Согласно подпункту 2.13.1 пункта 2.13 Положения № 382-П оператор платежной системы обязан определить порядок, форму и сроки информирования его оператором по переводу денежных средств. В противном случае имеет место факт нарушения требований Положения № 382-П.

Пунктом 18 части 1 статьи 20 Федерального закона № 161-ФЗ также предусмотрена необходимость отражения оператором платежной системы в правилах платежной системы порядка взаимодействия в рамках платежной системы в спорных и чрезвычайных ситуациях, включая информирование операторами услуг платежной инфраструктуры, участниками значимой платежной системы оператора значимой платежной системы о событиях, вызвавших операционные сбои, об их причинах и последствиях.

При этом формат информационного сообщения и порядок его направления могут быть определены оператором по переводу денежных средств самостоятельно.

В соответствии с подпунктом 2.13.1 пункта 2.13 Положения № 382-П информирование оператора платежной системы должно производиться не реже, чем один раз в месяц.

Ответ был полезен?
Обновлено: 02.10.2020
Подпунктом 2.9.1 пункта 2.9 Положения № 382-П введен запрет на использование несертифицированных СКЗИ исключительно российского производства.
Ответ был полезен?
Обновлено: 02.10.2020
В настоящее время Банк России не планирует разработку требований, связанных с унификацией документооборота между операторами по переводу денежных средств и операторами платежных систем.
Ответ был полезен?
Обновлено: 02.10.2020

Согласно девятому абзацу пункта 2.2 Положения № 382-П под службой информационной безопасности (далее — служба ИБ) понимается подразделение, ответственное за организацию и контроль обеспечения защиты информации, или работники, ответственные за организацию и контроль обеспечения защиты информации.

При этом решение о формировании службы ИБ или о назначении ответственных лиц принимается оператором по переводу денежных средств, банковским платежным агентом (субагентом), являющимся юридическим лицом, оператором услуг платежной инфраструктуры самостоятельно.

Ответ был полезен?
Обновлено: 02.10.2020
Положение № 382-П не содержит запрета на включение службы информационной безопасности в состав службы информатизации (автоматизации) при исключении возможности курирования службы информационной безопасности куратором службы информатизации (автоматизации).
Ответ был полезен?
Обновлено: 02.10.2020

Положение № 382-П устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, банковские платежные агенты (субагенты), операторы услуг платежной инфраструктуры, операторы платежных систем обеспечивают защиту информации при осуществлении переводов денежных средств вне зависимости от формы таких переводов.

Разработка отдельных нормативных актов, устанавливающих требования к обеспечению защиты информации при осуществлении переводов денежных средств в зависимости от формы таких переводов, в настоящее время не планируется.

Ответ был полезен?
Обновлено: 02.10.2020

Стандарт Банка России «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения» (далее — СТО БР ИББС-1.0) имеет рекомендательный характер и рекомендован для применения путем включения ссылок на него и (или) прямого использования устанавливаемых в нем положений во внутренних методических и нормативных документах, а также в договорах.

Проведение кредитной организацией оценки соответствия положениям СТО БР ИББС-1.0 не может заменять проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением № 382-П.

Оценка соответствия, согласно Положению № 382-П, проводится не реже одного раза в два года, а также по требованию Банка России.

Ответ был полезен?
Обновлено: 02.10.2020

Положение № 382-П устанавливает требования, в соответствии с которыми операторы по переводу денежных средств, операторы платежных систем, операторы услуг платежной инфраструктуры (далее при совместном упоминании — операторы) и банковские платежные агенты (субагенты) обеспечивают защиту информации при осуществлении переводов денежных средств.

Передача создания, модернизации, технического обслуживания и ремонта объектов информационной инфраструктуры операторами на аутсорсинг не запрещена Положением № 382-П. Однако обращаем внимание на то, что такая передача может привести к росту рисков информационной безопасности и нарушению системы управления рисками в целом.

Кроме того, выполнение некоторых требований (к примеру, требования о наличии ответственных за обеспечение защиты информации работников и о наличии службы информационной безопасности) не может быть переложено на компанию-аутсорсера.

Нужно учитывать, что в любом случае ответственность за выполнение требований Положения Банка России № 382-П, связанных с созданием, модернизацией, техническим обслуживанием и ремонтом объектов информационной инфраструктуры оператора по переводу денежных средств, лежит на нем самом.

Ответ был полезен?
Обновлено: 02.10.2020
В соответствии с пунктом 1 Приложения 1 к Положению № 382-П оценке выполнения требования к обеспечению защиты информации при осуществлении переводов денежных средств (далее — требование) присваивается числовое или символьное значение. Пункт 2 Приложения 1 к Положению № 382-П устанавливает правила присвоения числовых значений оценке выполнения требований различных категорий проверки. При этом символьное значение «н/о» (нет оценки) может быть присвоено оценке требования любой категории проверки, если выполнение требования не является обязанностью субъекта платежной системы.
Ответ был полезен?
Обновлено: 02.10.2020
В соответствии с частью 2 статьи 27 Федерального закона № 161-ФЗ контроль и надзор за выполнением требований, установленных Правительством Российской Федерации, осуществляются федеральным органом исполнительной власти, уполномоченным в области обеспечения безопасности, которым является Федеральная служба безопасности Российской Федерации, и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, которым является Федеральная служба по техническому и экспортному контролю. Банк России указанную деятельность не осуществляет.
Ответ был полезен?
Страница была полезной?
Последнее обновление страницы: 02.10.2020
На сайте Банка России используются файлы cookie
Оставаясь на www.cbr.ru, вы принимаете пользовательское соглашение