"Порядок взаимодействия участников процесса поддержания актуального состояния функционально-технических требований к средствам криптографической защиты информации" (утв. Банком России 28.02.2020 N ФТ-56-3/36)

Утверждаю

Заместитель Председателя

Банка России

Д.Г.СКОБЕЛКИН

28.02.2020 N ФТ-56-3/36

Согласовано

Директор Департамента

информационной безопасности

Банка России

В.А.УВАРОВ

05.02.2020

ПОРЯДОК

ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ПРОЦЕССА ПОДДЕРЖАНИЯ АКТУАЛЬНОГО

СОСТОЯНИЯ ФУНКЦИОНАЛЬНО-ТЕХНИЧЕСКИХ ТРЕБОВАНИЙ К СРЕДСТВАМ

КРИПТОГРАФИЧЕСКОЙ ЗАЩИТЫ ИНФОРМАЦИИ

1. Общие положения

1.1. Настоящий порядок определяет порядок обновления функционально-технических требований к средствам криптографической защиты информации, установленных пунктом 2.20 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее - порядок).

К средствам криптографической защиты информации относятся: аппаратный модуль безопасности (HSM-модуль), платежные устройства с терминальным ядром, а также платежные карты.

1.2. Для внесения изменений в функционально-технические требования Банк России формирует рабочую группу из представителей:

- структурных подразделений Банка России;

- ФСБ России;

- платежных систем;

- разработчиков банковского программного обеспечения;

- разработчиков аппаратных модулей безопасности (HSM-модуль);

- разработчиков платежных устройств с терминальным ядром;

- разработчиков платежных карт.

1.3. Порядок вводится в действие с момента утверждения.

2. Порядок обновления функционально-технических требований

2.1. Заседания рабочей группы проводятся не реже одного раза в квартал.

2.2. Каждый член рабочей группы вправе инициировать внесение изменений в функционально-технические требования в связи с изменениями действующих стандартов технических площадок и направить свои предложения в Банк России.

Перечень технических площадок приведен в приложении N 1.

2.3. Ответственным за мониторинг деятельности технических площадок PCI и EMV, разрабатываемых в них стандартов является АО "НСПК". По результатам мониторинга технических площадок PCI и EMV АО "НСПК" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.

2.4. Ответственным за мониторинг деятельности технической площадки Global Platform и разрабатываемых в ней стандартов является АО "НИИМЭ". По результатам мониторинга технической площадки Global Platform АО "НИИМЭ" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.

2.5. Ответственным за мониторинг деятельности технической площадки ТК26 и разрабатываемых в ней стандартов является АО "ИнфоТеКС". По результатам мониторинга технической площадки ТК26 АО "ИнфоТеКС" осуществляет инициирование внесения изменений в функционально-технические требования и направляет свои предложения в Банк России.

2.6. Заявки, связанные с инициированием изменений, рассматриваются рабочей группой на очередном заседании.

Форма инициирования изменений приведена в приложении N 2.

2.7. Рабочей группой принимается решение о целесообразности внесения такого рода изменений. По результатам заседания рабочей группы Банк России осуществляет внесение изменений в функционально-технические требования.

2.8. Информация об изменениях доводится до операторов по переводу денежных средств и операторов платежных систем путем направления письма в установленном порядке.

Приложение N 1

Перечень технических площадок:

- Global Platform;

- PCI;

- EMV;

- ТК26;

- ТК122.

Приложение N 2

Форма инициирования изменений