8 800 201-20-70Звонок бесплатный пн.-пт.: 10:00 - 18:00
Перейти к услуге

Обзор Указания ЦБ РФ №6060-У (еще не вступило в силу)

Автор статьи:

ЦБ РФ представил новое Указание №6060-У от 12 января 2022 года, зарегистрированное Министерством Юстиции РФ №67755 от 15 марта 2022 года «О формах и методиках составления, порядке и сроках предоставления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по обеспечению защиты информации при осуществлении переводов денежных средств.

Важно! Указание вступит в силу с 1 января 2023 года.

Скачать Указание №6060-У от 12 января 2022 года.

Как уже видно из названия, документ распространяется на:

  1. Операторов услуг платежной инфраструктуры;
  2. Операторов по переводу денежных средств.

Данное Указание устанавливает кто, каким образом, когда и куда направляет отчетные документы по обеспечению защиты информации при осуществлении переводов денежных средств. Речь идет о знакомых нам формах 202 и 203.

В таблице приведены данные о сроках предоставления отчетности.

Кому Что Когда
Операторам услуг платежной инфраструктуры, которые осуществляют деятельность РЦ или ПКЦ, не являющихся кредитными организациями, должны предоставить 202 Не позднее 30 дней со дня как завершили проведение оценки соответствия в соответствии со стандартом ГОСТ 57580.2-2018;
Не позднее 10 рабочих дней по требованию БР.

 

Операторам по переводу денежных средств (включая операторов электронных денежных средств), за исключением небанковских кредитных организаций (читай ниже)

203

Ежеквартально не позднее 15 рабочего дня месяца, следующего за отчётным кварталом
Операторам по переводу денежных средств (включая операторов электронных денежных средств), являющихся небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводам денежных средств без открытия банковских счетов в течение месяца не превышает 2-х миллиардов рублей

203

Раз в полгода не позднее 15 рабочего дня
Операторам услуг платежной инфраструктуры, осуществляющим деятельность РЦ

203

Ежеквартально не позднее 15-го рабочего дня месяца, следующего за отчетным кварталом
Операторам по переводу денежных средств (включая операторов электронных денежных средств)

203

Не позднее 15 рабочего дня по требованию БР
Операторам услуг платежной инфраструктуры, осуществляющим деятельность РЦ
Для всех Исправленная отчетность + пояснения об исправлениях В течение 10 рабочих дней после дня выявления факта ошибки предоставленных в БР отчетов.

 

Порядок предоставления отчетности

Главные моменты отчетности, которая предоставляется в БР:

  1. Электронный вид;
  2. Подписана УКЭП;
  3. Предоставлена через личный кабинет, ссылка на который расположена на сайте БР;
  4. В ней должны быть заполнены все строки и графы, которые предусмотрены для заполнения.

Форма 203 за 4 квартал 2022 года составляется и предоставляется по форме, методике и в сроки, которые установлены Указанием БР от 9 июня 2012 года №2831-У, в соответствии с порядком взаимодействия посредством личного кабинета. Указания №2831-У, №3024-У, №4753-У утратят свою силу с 1 марта 2023 года.

При этом операторы услуг платежной инфраструктуры, которые начали выполнять функции РЦ после вступления в силу настоящего Указания, должны предоставить форму 203 начиная с отчетного квартала, следующего за кварталом, в котором он начал исполнять эти функции

Рассмотрим Приложения к Указанию более подробно.

Приложение 1.

Приложение 1 содержит в себе сведения об оценке выполнения операторами услуг платежной инфраструктуры требований к обеспечению защиты информации при осуществлении деятельности операционного центра, платежного клирингового центра (202 форма/предоставляется на нерегулярной основе).

Ниже самой формы, которую необходимо заполнить, содержится методика составления этой самой отчетности.

В Указании №2831-У форма 202 содержит в себе только одну таблицу, в которой были показатели Ev1, Ev2 и итоговый показатель R.

Раздел 1.

Раздел 1 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Технологические меры». Основные моменты заполнения данного раздела:

  • заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к технологическим мерам защиты информации, которые описаны в 719-П.

В разделе 1 необходимо указать:

  • вид деятельности, это может быть ОЦ или ПКЦ;
  • вид оценки соответствия защиты информации в рамках направления «Технологические меры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначения используются показатель E. Например, ЕТМП.
  • значение оценки.

Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.

Раздел 2.

Раздел 2 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность программного обеспечения». Основные моменты заполнения данного раздела:

  • заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, по результатам выполнения требований к прикладному программному обеспечению, которые описаны в 719-П.

В разделе 2 необходимо указать:

  • вид деятельности, это может быть ОЦ или ПКЦ;
  • вид оценки соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». А именно цикли Деминга и обобщающий показатель уровня оценки соответствия. Для обозначение используется показатель Е. Например, EПОП.
  • значение оценки.

Для значения оценки ППО ОС используются значения:

  • «Сертификация ФСТЭК».
  • «Оценка соответствия ОУД».

Документ не устанавливает требований, как должны рассчитываться показатели E. 719-П также не устанавливает таких требований, возможно разъяснения будут даны позже.

Раздел 3.

Раздел 3 содержит в себе сведения об оценке соответствия защиты информации в рамках направления «Безопасность информационной инфраструктуры». Основные моменты заполнения данного раздела:

  • заполняется операторами услуг платежной инфраструктуры, осуществляющими деятельность ОЦ и ПКЦ, не являющихся кредитными организациями, в соответствии с 7 разделом ГОСТ Р 57580.2-2018.

В разделе 3 необходимо указать:

  • вид деятельности, это может быть ОЦ или ПКЦ;
  • процесс защиты информации (в соответствии с ГОСТ 57580);
  • направление защиты информации. А именно цикли Деминга, ЖЦ, качественная оценка уровня соответствия каждого процесса, оценка соответствия каждого процесса. Для обозначение используется показатель Е. Например, ЕПЗИi ;
  • значение оценки в соответствии с ГОСТ 57580.2-2018;
  • количество нарушений защиты информации, выявленных в результате оценки соответствия защиты информации, Z; (в соответствии с ГОСТ 57580.2-2018);
  • итоговую оценку соответствия защиты информации, R. (в соответствии с ГОСТ 57580.2-2018).

Раздел 4.

В разделе 4 указываются сведения о проверяющей организации. Важно то, что она должна иметь лицензию на осуществление деятельности по ТЗКИ.

Приложение 2.

Приложение 2 содержит в себе сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств (203 форма/квартальная (полугодовая, на нерегулярной основе)

Ниже самой формы, которую необходимо заполнить, содержится методика составления этой самой отчетности.

Форма 203 может содержать в себе следующие сведения:

  • о событиях, которые связаны с использованием электронных средств платежа без согласия клиента;
  • о переводах и снятии денежных средств в результате НСД к объектам ИИ оператора по ПДС;
  • об уменьшении остатка электронных денежных средств в результате НСД к объектам ИИ оператора электронных денежных средств;
  • о получении РЦ уведомлений от кредитных организаций – участников платежной системы о списании денежных средств с их корр. счетов без согласия или с использованием искаженной информации, которая содержится в распоряжениях ПКЦ или участников платежной системы.

Указание №2831 -У имеет 4 раздела.

Новое Указание №6060-У имеет 6 разделов. Обратим внимание, что структура таблиц имеет изменения по сравнению с 2831-У.

Раздел 1.

Раздел 1 содержит в себе общие сведения.

Раздел 2.

Раздел 2 содержит в себе сведения оператора по переводу денежных средств об операциях, соответствующих признакам осуществления перевода денежных средств без согласия физического лица, а также о событиях, связанных с использованием электронных средств платежа без согласия физического лица.

Раздел 3.

Раздел 3 содержит в себе сведения оператора по переводу денежных средств об операциях, соответствующих признакам осуществления перевода денежных средств без согласия юридического лица, а также о событиях, связанных с использованием электронных средств платежа без согласия юридического лица.

Раздел 4.

Раздел 4 содержит в себе сведения оператора по переводу денежных средств о переводах и снятии денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры.

Указываются следующие обобщенные сведения:

  • о переводе денежных средств оператора по переводу денежных средств или его клиентов без их согласия в результате осуществления различных типов несанкционированного доступа;
  • о несанкционированном снятии денежных средств оператора по переводу денежных средств или его клиентов в банкоматах в результате осуществления различных типов НСД

Сведения об операциях по переводу денежных средств, которые указаны в разделах 2 и 3 не включаются

Раздел 5.

Раздел 5 содержит в себе сведения оператора электронных денежных средств об уменьшении остатка электронных денежных средств в результате НСД к объектам его ИИ.

Сведения об операциях по переводу денежных средств, которые указаны в разделах 2 и 3, не включаются.

Раздел 6.

Раздел 6 содержит в себе сведения РЦ платежной системы о получении им уведомлений от кредитных организаций – участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях ПКЦ или участников платежной системы.

 

Задать вопрос эксперту

    Связанные услуги

    Мы используем файлы cookie. Продолжив работу с сайтом, вы соглашаетесь с политикой конфиденциальности.