После осуществления платежа с использованием электронных денег их владельцу выдается торговый чек, подтверждающий факт осуществления операции с использованием электронных денег, в форме электронного сообщения либо на бумажном носителе (торговый чек).
Расширен перечень реквизитов, которые должен содержать торговый чек:
- сумма платежа;
- время и дата совершения платежа;
- порядковый номер торгового чека;
- наименование (код) и индивидуальный идентификационный номер, бизнес-идентификационный номер индивидуального предпринимателя или юридического лица;
- код транзакции или другой код, идентифицирующий платеж в системе электронных денег;
- идентификационный код электронного кошелька отправителя и получателя электронных денег (уникальный идентификатор, статус идентификации владельца электронных денег);
- контактные номера телефонов оператора, в том числе сотовой связи;
- сведения об отправителе электронных денег (в случае наличия);
- сведения о получателе электронных денег (поставщик товаров или услуг);
- код назначения операции;
- наименование поставщика платежных услуг (платежный посредник), в том числе иностранного, в пользу которого осуществляется перевод электронных денег от отправителя за оплату услуг третьих лиц, не представленных в системе электронных денег в качестве поставщиков услуг;
- сведения о погашении электронных денег (банк, номер банковского счета).
Кроме того, допускается отражение в торговом чеке дополнительных реквизитов.
При осуществлении перевода электронных денег от отправителя в пользу поставщика платежных услуг (платежный посредник), в том числе иностранного, за оплату услуг третьих лиц, не представленных в системе электронных денег в качестве поставщиков услуг, платежная организация обязана обеспечить отображение полной цепочки участников операции в платежном документе (чеке, квитанции, детализации).
Также поправками установлено, что операторы систем электронных денег обеспечивают создание и функционирование системы управления кибербезопасностью, являющейся частью общей системы управления операторов систем электронных денег, предназначенной для управления процессом обеспечения кибербезопасности.
Операторы систем электронных денег утверждают внутренние документы, регламентирующие процесс управления кибербезопасностью, в том числе политику кибербезопасности.
Система управления кибербезопасностью обеспечивает защиту информационных активов операторов систем электронных денег, допускающую минимальный уровень потенциального ущерба для бизнес-процессов операторов систем электронных денег.
Оператор системы электронных денег осуществляет обследование состояния кибербезопасности периметра защиты цифровой инфраструктуры не реже одного раз в год. По результатам обследования составляется отчет с приложением материалов обследования, который доводится до сведения руководителя оператора системы электронных денег.
Оператор системы электронных денег обеспечивает надлежащий уровень системы управления кибербезопасностью, ее развитие и улучшение.
Оператор системы электронных денег, являющийся платежной организацией, прошедшей учетную регистрацию в Нацбанке, в целях разграничения ответственности и функций в сфере обеспечения кибербезопасности создает подразделение кибербезопасности, являющееся структурным подразделением, обособленным от других структурных подразделений, занимающихся вопросами создания, сопровождения и развития цифровых объектов, или определяет лицо, ответственное за обеспечение кибербезопасности, не состоящее в штате структурных подразделений, занимающихся вопросами создания, сопровождения и развития цифровых объектов.
Подразделение кибербезопасности или лицо, ответственное за обеспечение кибербезопасности, осуществляет координацию работ по обеспечению кибербезопасности и контроль за исполнением требований кибербезопасности, определенных во внутренних документах оператора системы электронных денег.
Оператор системы электронных денег обеспечивает повышение квалификации работников подразделения кибербезопасности путем проведения:
- внутренних мероприятий (лекции, семинары);
- внешнего обучения (посещение курсов, семинаров – не реже одного раза в два года для каждого работника).
При приеме на работу нового работника, не позднее пяти рабочих дней с момента приема на работу, новый работник ознакомляется под подпись с основными требованиями по обеспечению кибербезопасности (вводный инструктаж). Результат ознакомления фиксируется в соответствующем журнале инструктажа или ином документе, подтверждающем прохождение инструктажа.
Указанные требования распространяются на операторов системы электронных денег, являющихся платежными организациями, прошедшими учетную регистрацию в Нацбанке.
Трудовой договор, заключаемый с работником оператора системы электронных денег, являющегося платежной организацией, прошедшей учетную регистрацию в Нацбанке, содержит обязанность работника по соблюдению требований по обеспечению кибербезопасности и неразглашению конфиденциальной информации.
Оператор системы электронных денег в целях обеспечения конфиденциальности, целостности и доступности информации осуществляет следующие функции:
- организует систему управления кибербезопасностью, осуществляет координацию и контроль деятельности по обеспечению кибербезопасности и мероприятий по выявлению и анализу угроз, противодействию атакам и расследованию инцидентов кибербезопасности;
- обеспечивает методологическую поддержку процесса обеспечения кибербезопасности;
- осуществляет выбор, внедрение и применение методов, средств и механизмов управления, обеспечения и контроля кибербезопасности в рамках своих полномочий;
- осуществляет сбор, консолидацию, хранение и обработку информации об инцидентах кибербезопасности;
- осуществляет анализ информации об инцидентах кибербезопасности;
- обеспечивает внедрение, надлежащее функционирование программно-технических средств, автоматизирующих процесс обеспечения кибербезопасности, а также предоставление доступа к ним;
- определяет ограничения по использованию привилегированных учетных записей;
- организует и проводит мероприятия по обеспечению осведомленности работников оператора систем электронных денег в вопросах кибербезопасности;
- осуществляет мониторинг состояния системы управления кибербезопасностью оператора систем электронных денег;
- периодически (но не реже одного раза в год) осуществляет информирование руководства оператора системы электронных денег о состоянии системы управления кибербезопасностью;
- поддерживает в актуальном состоянии схемы периметра защиты цифровой инфраструктуры и перечень администраторов средств обеспечения его безопасности;
- устанавливает на периметре защиты цифровой инфраструктуры межсетевые экраны;
- обеспечивает безопасность доступа пользователей к ресурсам сети интернет из периметра защиты цифровой инфраструктуры;
- в случае подключения ноутбуков или иных устройств к информационным активам оператора системы электронных денег, являющегося платежной организацией, прошедшей учетную регистрацию в Нацбанке, из-за пределов периметра защиты оператора системы электронных денег на данных устройствах устанавливается лицензионное программное обеспечение для организации защищенного доступа (шифрование канала связи, обеспечение двухфакторной аутентификации).
Оператор системы электронных денег управляет рисками кибербезопасности с указанием критериев приемлемого уровня по отношению к информационным активам.
При реализации рисков кибербезопасности разрабатывается план мероприятий, направленный на минимизацию возникновения подобных рисков.
Установлено, что информация об инцидентах кибербезопасности, полученная в ходе мониторинга деятельности по обеспечению кибербезопасности, подлежит консолидации, систематизации и хранению.
Срок хранения информации об инцидентах кибербезопасности составляет не менее 5 лет.
Оператор системы электронных денег определяет порядок принятия неотложных мер к устранению инцидента кибербезопасности, его причин и последствий, а также ведет журнал учета инцидентов кибербезопасности.
Оператор системы электронных денег предоставляет в Нацбанк информацию о следующих выявленных инцидентах кибербезопасности:
- эксплуатация уязвимостей в прикладном и системном программном обеспечении;
- несанкционированный доступ в цифровую систему;
- атака «отказ в обслуживании» на цифровую систему или сеть передачи данных;
- заражение сервера вредоносной программой или кодом;
- совершение несанкционированного перевода электронных денег вследствие нарушения контролей кибербезопасности;
- инцидентах кибербезопасности, несущих угрозу стабильности деятельности оператора системы электронных денег.
Информация об инцидентах кибербезопасности предоставляется оператором системы электронных денег в возможно короткий срок, но не позднее 48 часов с момента выявления, в виде карты инцидента кибербезопасности.
Информация по обработанным инцидентам кибербезопасности представляется в электронном формате с использованием платформы Нацбанка для обмена событиями и инцидентами кибербезопасности.
На каждый инцидент кибербезопасности заполняется отдельная карта инцидента кибербезопасности.
Также установлено, что оператор системы электронных денег, являющийся платежной организацией, прошедшей учетную регистрацию в Нацбанке, для обмена событиями и инцидентами кибербезопасности использует статический IP-адрес и предоставляет информацию о нем в течение десяти рабочих дней со дня прохождения учетной регистрации.
Помимо этого, внесены изменения в Правила организации деятельности платежных организаций. Поправками уточнен порядок прохождения платежной регистрацией учетной регистрации в Нацбанке, а также установлены требования к кибербезопасности.
Постановление вводится в действие с 17 мая за исключением норм, которые вводятся с 12 и 19 июля.