30/01/2026
Банк России утвердил новые нормативы, регулирующие использование криптографических решений в инфраструктуре ключевых карточных платежных систем. Они заменяют прежние требования, введенные в 2020 году, и учитывают современные угрозы, связанные с оборотом денежных средств.
Документ охватывает следующие компоненты платежных систем:
- аппаратные модули безопасности (HSM);
- платежные терминалы и устройства с терминалами;
- банкоматы;
- банковские карты;
- прочие технические средства, использующие криптографические технологии.
Новые требования обязывают производителей и операторов применять отечественные криптографические средства защиты информации (СКЗИ), прошедшие проверку ФСБ России. Иностранные криптографические решения, не соответствующие российским стандартам, не подлежат применению.
Основные положения обновленных правил:
- Использование российских криптографических алгоритмов: криптографические механизмы должны соответствовать национальным стандартам или иметь одобрение ФСБ России. Допускается применение отдельных международных алгоритмов при условии их совместимости и отсутствия влияния на отечественные СКЗИ.
- Защита на всех этапах жизненного цикла: производители обязаны обеспечить безопасность устройств на всех стадиях – от проектирования и производства до эксплуатации и утилизации. Предусмотрены меры двойного контроля, защищенная упаковка, контроль целостности и ведение логов событий.
- Аутентификация и управление ключами: доступ к устройствам осуществляется с использованием многофакторной аутентификации, включая криптографические методы. Управление ключами исключает возможность компрометации без сговора минимум двух лиц, поддерживается также процедура доверенного уничтожения ключевой информации.
- Инженерно-криптографическая защита: устройства должны быть устойчивы к атакам, включая несанкционированный доступ, перехват данных и физическое воздействие. Реализованы механизмы самодиагностики, контроля рабочих параметров, температурных условий и автоматической очистки буферов после завершения операций.
- Документация и прозрачность: производители обязаны предоставлять подробные инструкции по эксплуатации, включая описание функций, процедур управления ключами, административных действий и действий при срабатывании защитных механизмов. Все программные и аппаратные компоненты должны быть верифицированы и не содержать скрытых функций.
Эти изменения направлены на повышение уровня защиты транзакций, стимулирование импортозамещения в криптографических технологиях и унификацию требований к разработке и эксплуатации защищенных платежных устройств.
