Каковы требования к банкам по защите информации при операциях с цифровыми рублями?

По мнению регулятора, они позволят банкам обеспечить целостность и конфиденциальность информации при проведении гражданами и компаниями операций с цифровыми рублями. В частности, под защитой будут находиться сведения о средствах на цифровых кошельках, о транзакциях с национальной цифровой валютой и информация для авторизации и идентификации пользователей.

Документом определены требования к минимальному классу средств криптографической защиты информации при обмене электронными сообщениями.

Согласно проекту положения, банкам надлежит использовать электронную подпись, подтверждающие документы на которую выданы удостоверяющим центром Банка России. Кроме того, в документе описаны требования в том числе к мобильному банку и интернет-банку клиента, с помощью которых будут совершаться операции с цифровыми рублями.

Кратко о требованиях к обеспечению защиты информации для участников платформы цифрового рубля:

1. Требования к обеспечению защиты информации для участников платформы цифрового рубля должны выполнять участники платформы цифрового рубля, являющиеся кредитными организациями.

2. Требования к защите информации распространяются на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается участником платформы цифрового рубля и которые используются при формировании (подготовке), обработке, передаче и хранении защищаемой информации.

3. Участники платформы цифрового рубля при обеспечении возможности совершения операций с цифровыми рублями должны размещать объекты информационной инфраструктуры в выделенных сегментах (группах сегментов) вычислительных сетей.

4. Участники платформы цифрового рубля во внутренних документах должны определить состав организационных мер защиты информации и порядок их применения, а также состав технических средств защиты информации и порядок их использования.

5. Защита информации с использованием СКЗИ должна обеспечиваться участниками платформы цифрового рубля в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года № 661, и технической документацией на СКЗИ.

6. Формирование и обработка электронных сообщений участников платформы цифрового рубля и пользователей платформы цифрового рубля, а также уведомлений, направляемых пользователю платформы цифрового рубля, должны осуществляться в соответствии с Альбомом электронных сообщений, предусмотренным частью 6 статьи 307 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».

7. Формирование и подписание электронных сообщений участника платформы цифрового рубля должны осуществляться в автоматизированной системе участника платформы цифрового рубля.

8. Участники платформы цифрового рубля должны хранить входящие и исходящие электронные сообщения, подписанные электронной подписью в соответствии с частью 2 статьи 6 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи», и средства, обеспечивающие проверку электронной подписи, не менее пяти лет с даты подписания электронных сообщений.

9. Участники платформы цифрового рубля должны осуществлять сбор, передачу на платформу цифрового рубля и обновление идентификационной информации устройства пользователя платформы цифрового рубля, сформированной в виде производного значения из значений параметров устройства, позволяющего идентифицировать устройство пользователя при совершении операций с цифровыми рублями, используемых при совершении операций с цифровыми рублями с использованием мобильного приложения.

10. При обмене электронными сообщениями участником платформы цифрового рубля должна применяться электронная подпись, сертификат ключа проверки которой выдан удостоверяющим центром Банка России.

11. Организационные меры и (или) технические средства защиты информации, используемые при обмене электронными сообщениями при осуществлении операций с цифровыми рублями, применяются с соблюдением определенного перечня требований.

12. Участники платформы цифрового рубля должны проводить оценку выполнения ими требований к защите информации при обеспечении возможности совершения операций с цифровыми рублями не реже одного раза в два года с привлечением сторонних организаций, имеющих лицензию на проведение работ и услуг, предусмотренных подпунктом «б» пункта 4 Положения о лицензировании деятельности по технической защите конфиденциальной информации, утвержденного постановлением Правительства Российской Федерации от 3 февраля 2012 года № 79 «О лицензировании деятельности по технической защите конфиденциальной информации».

Часть пунктов опубликованного положения вступает в силу с 1 января и 1 июля 2024 года.

Подробнее — в документе Банка России.