Определяем текущее состояние ИБ и даем рекомендации по улучшению уровня защиты
Помогаем обеспечить выполнение требований 152-ФЗ по защите персональных данных
Отчет с рекомендациями и дорожная карта для выполнения требований Указа №250
Проведем категорирование объектов, подготовим ОРД и поможем обеспечить безопасность КИИ
Курсы информационной безопасности для вас и ваших сотрудников
Услуги:
Статьи:
Аттестация объектов информатизации и подключение к ГИС
Поиск путей проникновения внешнего нарушителя во внутреннюю сеть
Экспертный анализ и оценка уровня защищенности инфраструктуры
Анализ защищенности от атак с доступом к локальной сети организации
Услуги:
Статьи:
Анализ защищенности от атак с эксплуатацией уязвимостей веб-ресурсов
Симуляция атак с использованием методов социальной инженерии
Анализ защищенности от атак с эксплуатацией уязвимостей мобильных приложений
Реализация требований ГОСТ Р 57580.1 , начиная с аудита и заканчивая построением системы защиты
Проводим оценку рисков ИБ для организации, вероятность их реализации и степень допустимости
Проводим аудит по требованиям Положения 716-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положений 787-П и 779-П, готовим отчёт и комплект ОРД
Проводим аудит по требованиям Положения SWIFT CSCF, готовим отчёт и комплект ОРД
Статьи:
Услуги:
Полный комплекс работ по обеспечению информационной безопасности КИИ
Защита автоматизированных систем управления технологическими процессами
Готовим документы для выполнения требований по защите ПДн (152-ФЗ)
Обеспечение соответствия Приказам ФСТЭК № 235 и № 239
Поможем выполнить требования Указа № 250 Президента Российской Федерации
Оценка и подтверждение соответствия объектов информатизации требованиям безопасности
Услуги:
Статьи:
Внедрение и сопровождение IDM, аудит прав доступа, построение ролевой модели
Внедрение и поддержка средств мультифакторной аутентификации
Внедрение и поддержка систем контроля привилегированных пользователей
Услуги:
Услуги:
Статьи:
Проектирование, внедрение, поддержка систем защиты конечных точек
Проектирование, внедрение, поддержка систем защиты конечных точек от комплексных угроз
Проектирование, внедрение, поддержка систем Extended Detection and Response
Услуги:
Статьи:
Сервис обучения сотрудников навыкам кибербезопасности на базе Phishman
15 базовых курсов по информационной безопасности для ваших сотрудников
Автоматизированная система обучения сотрудников основам ИБ
Услуги:
Разработка системы управления информационной безопасностью в соответствии с ISO/IEC 27001
Экспертный аудит и разработка стратегии непрерывности бизнеса в соответствии с ISO 22301
Новости

Указание Банка России № 6354-У: что изменится для операторов по переводу денежных средств с октября?

Осенью 2023 года в России будет введено новое указание Банка России о порядке направления информации обо всех случаях и попытках осуществления переводов денежных средств без согласия клиента. Указание № 6354-У заменит Указание № 4926-У и вступит в силу с 1 октября 2023 года. Данные изменения коснутся операторов по переводу денежных средств, операторов платежных систем, операторов услуг платежной инфраструктуры, операторов электронных платформ. Новое указание уточнит форму и порядок направления в Банк России информации о случаях и попытках переводов денежных средств без согласия клиента, а также предусмотрит мероприятия по противодействию осуществления незаконных переводов денежных средств. Вступление в силу нового Указания является поводом для пересмотра документов, регламентирующих процедуры уведомления Банка России о случаях и/или попытках осуществления переводов без согласия клиента.

Для упрощения понимания изменений и их применения на практике, структурировали информацию.

С 1 октября 2023 года перестает действовать Указание Банка России № 4926-У

С 1 октября 2023 года вступает в силу Указание Банка России № 6354-У «О форме и порядке направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, форме и порядке получения ими от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, а также о порядке реализации операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры, операторами электронных платформ мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента».
Новое Указание распространяется на:
  • операторов по переводу денежных средств (ОПДС);
  • операторов платежных систем (ОПС);
  • операторов услуг платежной инфраструктуры (ОУПИ);
  • операторов электронных платформ (ОЭП).
Новое Указание устанавливает:
  • форму и порядок направления в Банк России информации обо всех случаях и/или попытках осуществления переводов денежных средств без согласия клиента, форму и порядок получения от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента;
  • порядок реализации мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
В соответствии с частью 6 статьи 27 Федерального закона № 161-ФЗ «О национальной платежной системе» указанные субъекты национальной платежной системы (для операторов электронных платформ устанавливаются отдельные требования в 6354-У) обязаны направлять информацию о случаях или попытках осуществления переводов денежных средств без согласия клиентов.

Обязанность по предоставлению информации о случаях или попытках переводов без согласия в отношении платежной системы Банка России определена Положением Банка России № 802-П «О требованиях к защите информации в платежной системе Банка России».

Указание № 4926-У устанавливало порядок предоставления информации по форме первичного, промежуточного, окончательного уведомления. Теперь же в Приложении 1 Указания № 6354-У устанавливается конкретизированная форма предоставления информации. Приложение 2 и 3 устанавливают состав информации о переводах без согласия клиента.

Случаи (события), при которых информация подлежит отправке, и сроки направления информации также претерпели некоторые изменения.

Информация о компьютерных атаках, направленных на объекты информационной инфраструктуры и (или) их клиентов, которые могут привести к случаям или попыткам переводов без согласия, направляется в Банк России в соответствии со статьей 9 Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Случаи направления информации в Банк России операторами по переводу денежных средств:
  • при получении уведомлений от клиентов о случаях и (или) попытках переводов без согласия;
  • при выявлении операций, которые соответствуют признакам осуществления переводов без согласия, при условии, что в течение двух рабочих дней, следующих за днем выявления им операции, соответствующей признакам перевода без согласия, от плательщика получена информация о таком случае или попытке;
  • при выявлении операций по переводу денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры.
Сроки уведомлений Банка России операторами по переводу денежных средств:
- В течение трех часов с момента наступления событий:
ОПДС, являющиеся системно значимыми кредитными организациями, кредитными организациями, признанными Банком России значимыми на рынке платежных услуг, в том числе ОУПИ при выполнении ими функций расчетного центра в рамках системно значимых платежных систем и социально значимых платежных систем.

- Не позднее рабочего дня, следующего за днем наступления событий:

ОПДС, в том числе ОУПИ при выполнении ими функций расчетного центра платежной системы, не относящиеся к группе выше.
Что еще нового?
Указание № 6354-У содержит порядок взаимодействия с Банком России по вопросу добавления и удаления информации из базы данных о случаях или попытках переводов без согласия клиентов.

Отдельными главами в новом Указании устанавливаются форма и порядок направления информации ОЭП о случаях и попытках переводов денежных средств без согласия клиента в Банк России, а также порядок реализации ОЭП мероприятий по противодействию осуществления переводов без согласия.

Что касается порядка реализации мероприятий по противодействию осуществления переводов денежных средств без согласия – содержание главы, в целом, осталось прежним, за исключением упрощения и уточнения некоторых абзацев.

Анастасия Федюнина, ведущий специалист отдела аудита Infosecurity a Softline Company
Блог