Обзор Указания ЦБ РФ №6060-У (еще не вступило в силу)
Автор статьи:
Гончаров Андрей Михайлович
Юрист в области информационной безопасностиЦБ РФ представил новое Указание №6060-У от 12 января 2022 года, зарегистрированное Министерством Юстиции РФ №67755 от 15 марта 2022 года «О формах и методиках составления, порядке и сроках предоставления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств.
Важно! Указание вступит в силу с 1 января 2023 года.
Скачать Указание №6060-У от 12 января 2022 года.
Как уже видно из названия, документ распространяется на:
- Операторов услуг платежной инфраструктуры;
- Операторов по переводу денежных средств.
Данное Указание устанавливает кто, каким образом, когда и куда направляет отчетные документы по обеспечению защиты информации при осуществлении переводов денежных средств. Речь идет о знакомых нам формах 202 и 203.
В таблице приведены данные о сроках предоставления отчетности.
| Кому | Что | Когда |
| Операторам услуг платежной инфраструктуры, которые осуществляют деятельность РЦ или ПКЦ, не являющихся кредитными организациями, должны предоставить | 202 | Не позднее 30 дней со дня как завершили проведение оценки соответствия в соответствии со стандартом ГОСТ 57580.2-2018; |
| Не позднее 10 рабочих дней по требованию БР.
|
||
| Операторам по переводу денежных средств (включая операторов электронных денежных средств), за исключением небанковских кредитных организаций (читай ниже) |
203 |
Ежеквартально не позднее 15 рабочего дня месяца, следующего за отчётным кварталом |
| Операторам по переводу денежных средств (включая операторов электронных денежных средств), являющихся небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводам денежных средств без открытия банковских счетов в течение месяца не превышает 2-х миллиардов рублей |
203 |
Раз в полгода не позднее 15 рабочего дня |
| Операторам услуг платежной инфраструктуры, осуществляющим деятельность РЦ |
203 |
Ежеквартально не позднее 15-го рабочего дня месяца, следующего за отчетным кварталом |
| Операторам по переводу денежных средств (включая операторов электронных денежных средств) |
203 |
Не позднее 15 рабочего дня по требованию БР |
| Операторам услуг платежной инфраструктуры, осуществляющим деятельность РЦ | ||
| Для всех | Исправленная отчетность + пояснения об исправлениях | В течение 10 рабочих дней после дня выявления факта ошибки предоставленных в БР отчетов. |
Порядок предоставления отчетности
Главные моменты отчетности, которая предоставляется в БР:
- Электронный вид;
- Подписана УКЭП;
- Предоставлена через личный кабинет, ссылка на который расположена на сайте БР;
- В ней должны быть заполнены все строки и графы, которые предусмотрены для заполнения.
Форма 203 за 4 квартал 2022 года составляется и предоставляется по форме, методике и в сроки, которые установлены Указанием БР от 9 июня 2012 года №2831-У, в соответствии с порядком взаимодействия посредством личного кабинета. Указания №2831-У, №3024-У, №4753-У утратят свою силу с 1 марта 2023 года.
При этом операторы услуг платежной инфраструктуры, которые начали выполнять функции РЦ после вступления в силу настоящего Указания, должны предоставить форму 203 начиная с отчетного квартала, следующего за кварталом, в котором он начал исполнять эти функции
Рассмотрим Приложения к Указанию более подробно.
Приложение 1 к Указанию ЦБ РФ №6060-У
Приложение 1 содержит в себе сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра (202 форма/предоставляется на нерегулярной основе).
Ниже самой формы, которую необходимо заполнить, содержится методика составления этой самой отчетности.
В Указании №2831-У форма 202 содержит в себе только одну таблицу, в которой были показатели Ev1, Ev2 и итоговый показатель R.
Раздел 1.
Раздел 1 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Технологические меры». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к технологическим мерам защиты информации, которые описаны в 719-П.
В разделе 1 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- вид оценки соответствия защиты информации в рамках направления «Технологические меры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначения используются показатель E. Например, ЕТМП.
- значение оценки.
Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.
Раздел 2.
Раздел 2 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность программного обеспечения». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к прикладному программному обеспечению, которые описаны в 719-П.
В разделе 2 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- вид оценки соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначение используется показатель Е. Например, EПОП.
- значение оценки.
Для значения оценки ППО ОС используются значения:
- «Сертификация ФСТЭК».
- «Оценка соответствия ОУД».
Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.
Раздел 3.
Раздел 3 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». Основные моменты заполнения данного раздела:
- заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, в соответствии с 7 разделом ГОСТ Р 57580.2-2018.
В разделе 3 необходимо указать:
- вид деятельности, это может быть ОЦ или ПКЦ;
- процесс защиты информации (в соответствии с ГОСТ 57580);
- направление защиты информации. А именно цикли Деминга, ЖЦ, качественная оценка уровня соответствия каждого процесса, оценка соответствия каждого процесса. Для обозначение используется показатель Е. Например, ЕПЗИi ;
- значение оценки в соответствии с ГОСТ 57580.2-2018;
- количество нарушений защиты информации, выявленных в результате оценки соответствия защиты информации, Z; (в соответствии с ГОСТ 57580.2-2018);
- итоговую оценку соответствия защиты информации, R. (в соответствии с ГОСТ 57580.2-2018).
Раздел 4.
В разделе 4 указываются сведения о проверяющей организации. Важно то, что она должна иметь лицензию на осуществление деятельности по ТЗКИ.
Приложение 2.
Приложение 2 содержит в себе сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств (203 форма/квартальная (полугодовая, на нерегулярной основе)
Ниже самой формы, которую необходимо заполнить, содержится методика составления этой самой отчетности.
Форма 203 может содержать в себе следующие сведения:
- о событиях, которые связаны с использованием электронных средств платежа без согласия клиента;
- о переводах и снятии денежных средств в результате НСД к объектам ИИ оператора по ПДС;
- об уменьшении остатка электронных денежных средств в результате НСД к объектам ИИ оператора электронных денежных средств;
- о получении РЦ уведомлений от кредитных организаций – участников платежной системы о списании денежных средств с их корр. счетов без согласия или с использованием искаженной информации, которая содержится в распоряжениях ПКЦ или участников платежной системы.
Указание №2831 -У имеет 4 раздела.
Новое Указание №6060-У имеет 6 разделов. Обратим внимание, что структура таблиц имеет изменения по сравнению с 2831-У.
Раздел 1.
Раздел 1 содержит в себе общие сведения.
Раздел 2.
Раздел 2 содержит в себе сведения оператора по переводу денежных средств об операциях, соответствующих признакам осуществления перевода денежных средств без согласия физического лица, а также о событиях, связанных с использованием электронных средств платежа без согласия физического лица.
Раздел 3.
Раздел 3 содержит в себе сведения оператора по переводу денежных средств об операциях, соответствующих признакам осуществления перевода денежных средств без согласия юридического лица, а также о событиях, связанных с использованием электронных средств платежа без согласия юридического лица.
Раздел 4.
Раздел 4 содержит в себе сведения оператора по переводу денежных средств о переводах и снятии денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры.
Указываются следующие обобщенные сведения:
- о переводе денежных средств оператора по переводу денежных средств или его клиентов без их согласия в результате осуществления различных типов несанкционированного доступа;
- о несанкционированном снятии денежных средств оператора по переводу денежных средств или его клиентов в банкоматах в результате осуществления различных типов НСД
Сведения об операциях по переводу денежных средств, которые указаны в разделах 2 и 3 не включаются
Раздел 5.
Раздел 5 содержит в себе сведения оператора электронных денежных средств об уменьшении остатка электронных денежных средств в результате НСД к объектам его ИИ.
Сведения об операциях по переводу денежных средств, которые указаны в разделах 2 и 3, не включаются.
Раздел 6.
Раздел 6 содержит в себе сведения РЦ платежной системы о получении им уведомлений от кредитных организаций – участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях ПКЦ или участников платежной системы.
Подписывайтесь на канал ИТ. Право. Безопасность в Telegram
