ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

УСЛОВИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ

Глава 1. Общие положения

1.1. Клиент для участия в обмене электронными сообщениями (далее - ЭС) в платежной системе Банка России или Пользователь в системе передачи финансовых сообщений (далее - СПФС) выполняет требования по защите информации в соответствии с настоящими Условиями.

1.2. Настоящие Условия применяются для целей договора, заключаемого с Клиентом (Пользователем) и предусматривающего участие в обмене ЭС в платежной системе Банка России или в СПФС (далее - Договор).

1.3. Термины, используемые в настоящих Условиях, понимаются в значениях, определенных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), установленных правилами платежной системы Банка России.

1.4. Кроме того, в настоящих Условиях используются следующие термины и определения:

администратор информационной безопасности (далее - АИБ) - лицо, назначенное Клиентом (Пользователем) и выполняющее обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению информационной безопасности;

администратор ключевой системы (далее - АКС) - лицо, назначенное владельцем криптографического ключа ответственным за управление криптографическими ключами, в том числе за формирование криптографических ключей и обеспечение безопасности криптографических ключей;

владелец ключа электронной подписи, ключа шифрования (владелец криптографического ключа) - Банк России, Клиент, Пользователь или косвенный участник платежной системы Банка России, являющийся клиентом участника обмена - Клиента (далее - косвенный участник Клиента);

инцидент - нарушение требований к обеспечению защиты информации при обмене ЭС или ФС, в том числе нарушение, которое привело или может привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств;

ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи с использованием средств криптографической защиты информации;

ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;

ключ шифрования - уникальная последовательность символов, используемая при зашифровании и расшифровании ЭС;

ключевой носитель - отчуждаемый машинный носитель информации, содержащий криптографический ключ;

криптографический ключ - ключ электронной подписи и (или) ключ шифрования;

компрометация криптографического ключа - событие, определяемое владельцем криптографического ключа как ознакомление неуполномоченным лицом (лицами) с его криптографическим ключом;

косвенный участник Клиента - организация, соответствующая критериям, определенным для косвенных участников Клиента нормативным актом Банка России на основании части 9 статьи 20 Федерального закона N 161-ФЗ;

объекты информационной инфраструктуры - автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций;

пользователь ключа электронной подписи, ключа шифрования (далее - пользователь криптографического ключа) - лицо, назначенное владельцем криптографического ключа и уполномоченное им использовать криптографический ключ от имени владельца криптографического ключа;

регистрационная карточка сертификата ключа проверки электронной подписи (далее - регистрационная карточка сертификата ключа) - документ, содержащий распечатку сертификата ключа проверки электронной подписи (включая распечатку в шестнадцатеричной системе счисления ключа проверки электронной подписи, наименование и иные реквизиты, идентифицирующие владельца ключа электронной подписи, подпись руководителя (лица, его замещающего) владельца ключа электронной подписи или лица из числа работников владельца ключа электронной подписи, уполномоченного на подписание регистрационной карточки сертификата ключа) от имени владельца ключа электронной подписи, а также оттиск печати (при ее наличии);

регистрационный центр - подразделение Банка России, выполняющее функции регистрации и сертификации ключей электронной подписи, а также управления ключами проверки электронной подписи Клиента, косвенного участника Клиента, Пользователя и ключами шифрования, применяемыми при обмене ЭС;

сертификат ключа проверки электронной подписи - документ в электронном виде, выданный регистрационным центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа;

средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие создание и проверку электронной подписи, создание ключей электронной подписи, а также реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при обмене ЭС по каналам связи либо с использованием отчуждаемых машинных носителей информации;

уполномоченное лицо - лицо, уполномоченное на подписание от имени Клиента, косвенного участника Клиента, Пользователя регистрационных карточек сертификатов ключей проверки электронной подписи, запросов на выпуск сертификатов ключей проверки электронной подписи, а также на направление и (или) подписание обращений (заявлений) о приостановлении (возобновлении) обмена ЭС или о приостановлении (возобновлении) оказания услуг по передаче ФС в случае выявления инцидента, связанного с несоблюдением Клиентом, Пользователем требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента;

электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

1.5. Сведения о реализованных мерах и средствах защиты информации, в том числе сведения о ключевой информации, а также сведения, передаваемые Банком России и Клиентом, косвенным участником Клиента, Пользователем друг другу в ходе исполнения настоящих Условий, не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации или договором, заключенным Банком России, Клиентом и третьим лицом.

1.6. Сведения, содержащиеся в ЭС Клиента и в ЭС, направленных Клиенту в ходе исполнения настоящих Условий, не подлежат передаче Банком России третьим лицам, за исключением случаев, установленных законодательством Российской Федерации и Договором.

1.7. При обмене в электронном виде сведениями о реализованных мерах и средствах защиты информации, а также материалами работы Согласительной комиссии, созданной в соответствии с приложением 4 к настоящим Условиям, применяются организационные и технические меры защиты информации, в том числе предназначенные для предотвращения несанкционированного доступа к содержанию защищаемой информации при передаче по открытым каналам связи, а также с использованием информационно-телекоммуникационной сети "Интернет". Клиент должен выполнять и обеспечивать выполнение косвенным участником Клиента требований, определенных настоящими Условиями, при обмене ЭС, осуществлять эксплуатацию и функционирование автоматизированного рабочего места обмена ЭС с платежной системой Банка России и (или) автоматизированного рабочего места обмена ЭС через систему СПФС (далее - АРМ обмена) в соответствии с требованиями эксплуатационной документации на АРМ обмена, полученной в соответствии с Условиями передачи программного обеспечения Клиенту Банка России.

1.8. Банк России вправе проверять выполнение Клиентом, Пользователем требований к защите информации на соответствие сведениям, изложенным в акте о готовности к обмену ЭС (ФС) с Банком России.

1.9. Банк России уведомляет Клиента о приостановлении (возобновлении) обмена ЭС с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации с использованием технической инфраструктуры (автоматизированной системы) Банка России информация направляется с использованием резервного способа взаимодействия.

Глава 2. Меры по защите информации при осуществлении
переводов денежных средств в платежной системе Банка России

2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) и осуществлению обмена ЭС с прямым участником - клиентом Банка России, заключившим с Банком России договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, обеспечивают выполнение требований подпунктов 2.2.4 - 2.2.6 пункта 2.2 и приложения 5 к настоящим Условиям.

2.2. Клиенты, не указанные в пункте 2.1 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

2.2.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017) <1>.

--------------------------------

<1> Подпункт 2.2.1 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года.

2.2.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 <2>:

--------------------------------

<2> Абзац второй подпункта 2.2.2 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года.

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.2.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

2.2.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/mcirabis/.

2.2.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.2.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.2.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

2.2.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом унифицированных форматов электронных банковских сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/Formats/ (далее - Альбом УФЭБС);

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности <3>.

--------------------------------

<3> Абзац 6 подпункта 2.2.8 пункта 2.2 настоящих Условий вступает в силу с 1 июля 2021 года.

2.2.9. Клиенты должны информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

2.3. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении (возобновлении) обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

2.4. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России <4> при проведении проверки выполнения требований к защите информации.

--------------------------------

<4> Способ представления информации указывается в запросе Банка России.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности, в том числе в подразделении Клиента.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный Банком в акте проверки, с досылкой акта проверки на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ЭС Клиент представляет в электронном виде акт о готовности к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой акта о готовности к обмену ЭС с Банком России на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Клиент обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета (для Клиентов, указанных в пункте 2.1) в соответствии с Указанием Банка России от 03.11.2017 N 4600-У "О порядке взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и другими участниками информационного обмена при использовании ими информационных ресурсов Банка России, в том числе личного кабинета" (далее - личный кабинет).

2.5. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в пунктах 2.2.1 - 2.2.8 настоящих Условий.

2.6. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.

Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

2.7. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.2.9 пункта 2.2 настоящих Условий.

Глава 3. Меры по защите информации при оказании услуг
по передаче финансовых сообщений с использованием СПФС

3.1. Пользователь в части требований по защите информации при обмене ЭС через СПФС (далее - ФС) обеспечивает выполнение следующих требований.

3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие следующие уровни защиты информации, определенные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

Пользователи, являющиеся системно значимыми кредитными организациями, кредитные организации, выполняющие функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитные организации, значимые на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.

Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего подпункта, должны реализовывать стандартный уровень (уровень 2) защиты информации.

Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта.

Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации <5>.

--------------------------------

<5> Подпункт 3.1.1 пункта 3.1 настоящих Условий вступает в силу с 1 июля 2021 года.

3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации и состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017 <6>:

--------------------------------

<6> Абзац второй подпункта 3.1.2 пункта 3.1 настоящих Условий вступает в силу с 1 июля 2021 года.

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ФС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ФС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ФС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 5 к настоящим Условиям.

3.1.4. Передача и прием ФС Пользователя осуществляются с использованием автоматизированного рабочего места клиента Банка России - пользователя СПФС.

Автоматизированное рабочее место обмена ФС должно быть реализовано с помощью программного обеспечения, предоставляемого Банком России, - программного комплекса "Автоматизированное рабочее место клиента Банка России - пользователя системы передачи финансовых сообщений".

3.1.5. Пользователи должны обеспечивать защиту ФС при их передаче в Банк России применением первого варианта защиты, предусмотренного Альбомом УФЭБС.

3.1.6. Пользователи должны обеспечивать хранение входящих и исходящих ФС, подписанных электронной подписью, не менее пяти лет.

3.1.7. При обмене ФС между Пользователем и Банком России должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Пользователь признают, что:

внесение изменений в ФС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

3.1.8. Криптографические ключи, используемые при обмене ФС между Клиентом и Банком России, должны изготавливаться Клиентом в соответствии с Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

3.2. В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя Пользователи должны обеспечивать защиту ФС при их передаче в Банк России посредством формирования ФС и контроля реквизитов ФС в информационной инфраструктуре с учетом следующего:

3.2.1. Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с использованием разных рабочих мест и с привлечением отдельных работников для каждого из контуров.

3.2.2. Объекты информационной инфраструктуры контура формирования ФС и контура контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально.

3.2.3. В контуре формирования ФС на основе первичного документа в бумажной или электронной форме или входящего ФС должны осуществляться:

формирование исходящего ФС, предназначенного для направления в СПФС;

контроль реквизитов исходящего ФС, предназначенного для направления в СПФС;

подписание исходящего ФС, предназначенного для направления в СПФС, электронной подписью, применяемой в контуре формирования ФС, при положительном результате контроля реквизитов;

направление исходящего ФС, предназначенного для направления в СПФС Банка России, в контур контроля реквизитов ФС.

3.2.4. В контуре контроля реквизитов ФС должны осуществляться:

контроль реквизитов исходящего ФС на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего ФС;

контроль на отсутствие дублирования исходящих ФС;

передача исходящего ФС, при положительном результате контроля реквизитов, на автоматизированное рабочее место обмена ФС с СПФС с последующим шифрованием ФС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

3.3. Пользователи должны информировать Банк России о нарушениях требований к обеспечению защиты информации при обмене ФС.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

Пользователи должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ФС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ФС по каналам связи.

Пользователи должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ФС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Пользователь должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

3.4. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 3 к настоящим Условиям.

3.5. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России <7> при проведении проверки выполнения требований к защите информации.

--------------------------------

<7> Способ предоставления информации указывается в запросе Банка России.

Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности, в том числе в подразделении Пользователя.

Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный в акте поверки, с досылкой акта об устранении нарушений на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ФС Пользователь представляет в электронном виде акт о готовности к обмену ФС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой сообщения на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Пользователь обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета.

Приложение 1
к Условиям защиты информации

УТВЕРЖДАЮ
(личная подпись, Ф.И.О. руководителя (лица, его замещающего) или должностного лица, заключившего Договор от имени Клиента (Пользователя)
(наименование Клиента (Пользователя)
"__" __________________ г.
АКТ
о готовности Клиента _________ (указывается наименование Клиента (Пользователя) к обмену ЭС (ФС) с Банком России <8>
от "__" ____________ г.
    Настоящий  акт составлен по результатам проверки готовности к обмену ЭС
(ФС) с использованием _____________________________________________________
______________________________________________________________________ <9>.
    Комиссия  <10> ______________________ (указывается наименование Клиента
(Пользователя), созданная на основании _______________________ (указывается
наименование,    дата   и   номер   распорядительного   документа   Клиента
(Пользователя), в составе:
Руководитель Комиссии
(наименование должности, инициалы, фамилия)
Члены Комиссии:
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)

провела проверку готовности к обмену ЭС (ФС) с Банком России.

Комиссия установила следующее:

1. Выполняются следующие меры в части защиты информации, указанные в Условиях по защите информации <11>:

2. Планируемые сроки реализации мер в части защиты информации, указанных в пунктах 2.2.1, 2.2.2, 3.1.1 и 3.1.2 Условий по защите информации:

(указываются конкретные меры в части защиты информации и планируемые сроки их реализации).

3. Выполняются следующие меры в части защиты информации:

N п/п
Меры в части защиты информации
Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, для участника сервиса срочного перевода и сервиса несрочного перевода (далее - ССНП)
3.1.
Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.
Участник ССНП направляет всю необходимую информацию <12>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 6 к Акту, в том числе:
-
название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования или контуру контроля;
-
сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования или контуру контроля;
-
реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
-
реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
-
реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений.
3.2.
Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.
Участник ССНП направляет всю необходимую информацию <13>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:
-
описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений (автоматизированная система учета операций, АРМ контура контроля и формирования, АРМ обмена с Банком России, иное);
-
реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
-
схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;
-
логическую схему сети с разделением на VLAN и указанием диапазона IP-адресов, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника;
-
сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);
-
сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер);
-
реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного документа, описывающего установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования электронных сообщений и контуром контроля реквизитов электронных сообщений с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости).
3.3.
В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:
Участник ССНП направляет всю необходимую информацию <14>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:
-
реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;
формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
-
технологическую схему и описание технологического процесса формирования электронных сообщений на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
-
описание этапа формирования исходящего электронного сообщения,
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;
-
описание этапа контроля реквизитов исходящего электронного сообщения в контуре формирования с указанием основных контролируемых полей и способов контроля,
-
описание этапа подписания исходящего электронного сообщения в контуре формирования с описанием механизма разграничения доступа при выполнении операций,
-
описание этапа направления исходящего электронного сообщения в контур контроля реквизитов электронных сообщений,
направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.
-
описание этапа контроля реквизитов исходящего электронного сообщения в контуре контроля с указанием основных контролируемых полей и способа контроля,
3.4.
В контуре контроля реквизитов электронных сообщений должны осуществляться:
-
указание источника эталонной информации для сравнения и способа взаимодействия,
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;
-
описание этапа контроля на отсутствие дублирования исходящих электронных сообщений с указанием основных контролируемых полей и способа контроля,
-
описание этапа подписания исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, с описанием механизма разграничения доступа при выполнении операций,
контроль на отсутствие дублирования исходящих электронных сообщений;
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.
-
описание процедуры (порядок, ответственные) шифрования исходящего электронного сообщения,
-
описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) электронных сообщений.

4. АРМ обмена эксплуатируется ________________________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента (Пользователя), ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).

5. СКЗИ эксплуатируется ________________________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).

6. АС Клиента (Пользователя) эксплуатируется ________________________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС, выполнение требований к защите информации).

7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС (ФС) при переводе денежных средств в рамках платежной системы Банка России (при оказании услуг по передаче ФС через СПФС) в случае несоблюдения участником обмена требований к защите информации ________________________ (указывается информация в соответствии с пунктом 4 приложения 3 Условий по защите информации).

Заключение

Комиссия считает, что ________________________ (указывается наименование Клиента (Пользователя) готов к осуществлению обмена ЭС (ФС) ________________________ (указывается "при переводе денежных средств в рамках платежной системы Банка России" и (или) "через СПФС" соответственно) с использованием ____________________________________ <15>.

Руководитель Комиссии
(инициалы, фамилия)
(подпись, дата)
Члены Комиссии:
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)
(инициалы, фамилия)
(подпись, дата)

--------------------------------

<8> По данной форме представляется акт о готовности к обмену ЭС с Банком России при переводе денежных средств в рамках платежной системы Банка России, а также акт о готовности к обмену через СПФС.

<9> Указывается наименование используемых АРМ обмена, СКЗИ.

<10> Комиссия назначается соответствующим распорядительным документом Клиента (Пользователя), подписанным руководителем (лицом, его замещающим).

<11> За исключением мер, срок действия которых не наступил.

<12> Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

<13> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

<14> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

<15> Указывается наименование программных комплексов, используемых для АРМ обмена, наименование СКЗИ.

Приложения:

1. Акт о готовности АРМ обмена к обмену ЭС <16> (составляется в произвольной форме, акт утверждается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

--------------------------------

<16> Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, установленных на АРМ обмена, значения хеш-сумм переданного Банком России программного комплекса, используемых для АРМ обмена, а также значение хеш-суммы самой программы вычисления хеш-сумм.

2. Уведомление о назначении администратора АРМ обмена (составляется в произвольной форме с указанием фамилии, инициалов, должности администратора АРМ обмена, номера и даты приказа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

3. Уведомление о назначении АИБ (составляется в произвольной форме с указанием фамилии, инициалов, должности АИБ, номера и даты документа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

4. Уведомление о назначении лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС, уполномоченных лиц <17> (составляется в произвольной форме с указанием фамилии, инициалов, должности пользователя (должностей пользователей), номера и даты документа о назначении, номеров телефонов, для уполномоченных лиц - образцов их подписей, перечня филиалов (в том числе централизованных), от имени которых работает данный пользователь (данные пользователи), уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

--------------------------------

<17> Клиент (Пользователь) обязан информировать в письменном виде Банк России о назначении и изменении состава лиц, указанных в пунктах 2 - 4 к заключению Акта приложения 1 к Условиям по защите информации, не позднее дня назначения или изменения.

5. Документы, отражающие (поясняющие) реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений для участника ССНП, в том числе описание информационного взаимодействия и технологического процесса, а также иные документы, указанные в пункте 3 приложения 1 к Условиям защиты информации (в соответствии с приложением к Положению Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России").

6. Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР (по форме приложения к настоящему приложению).

7. Распорядительный документ Клиента (Пользователя) о проведении проверки готовности к обмену ЭС (ФС) с Банком России.

Приложение
к Приложению 1
к Условиям защиты информации

Сведения
об информационной инфраструктуре, предназначенной
для формирования, контроля и направления ЭС в ПС БР

Доменное имя
IP-адрес, VLAN
MAC-адрес
Установленное ПО
АРМ обмена
АРМ контура формирования
АРМ контура контроля
Технологический участок
Роль
ФИО (основной/замещающий)
Идентификатор ключа электронной подписи
Реквизиты документа о назначении
АРМ обмена
Оператор АРМ
Администратор АРМ
Администратор ИБ
Контур формирования
Оператор АРМ
Администратор АРМ
Администратор ИБ
Контур контроля
Оператор АРМ
Администратор АРМ
Администратор ИБ

Приложение 2
к Условиям защиты информации

УСЛОВИЯ УПРАВЛЕНИЯ КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ

1. Условия управления криптографическими ключами (далее - Условия) выполняются Клиентом (косвенным участником Клиента, Пользователем) при управлении ключами электронной подписи и ключами шифрования, применяемыми при обмене ЭС при переводе денежных средств в рамках платежной системы Банка России или при обмене ФС.

2. Клиент (косвенный участник Клиента, Пользователь) может иметь несколько криптографических ключей, а также при необходимости резервные криптографические ключи.

3. Криптографические ключи Клиент (косвенный участник Клиента, Пользователь) изготавливает самостоятельно на учтенных ключевых носителях с использованием средств, входящих в комплект поставки СКЗИ.

Допускается генерация Клиентом (косвенным участником Клиента, Пользователем) криптографических ключей в регистрационном центре, для чего Банк России предоставляет Клиенту (косвенному участнику Клиента, Пользователю) рабочее место для генерации криптографических ключей, оборудованное СКЗИ (при этом согласие Клиента (косвенного участника Клиента, Пользователя) на изготовление криптографических ключей на технических средствах Банка России должно быть документально зафиксировано и оформляться при каждом изготовлении криптографических ключей).

Для самостоятельного изготовления криптографических ключей Клиент (косвенный участник Клиента, Пользователь) получает в регистрационном центре ключ (ключи) регистрации.

4. Взаимодействие Банка России с Клиентом (Пользователем) в части управления ключами осуществляется АКС Банка России.

Клиент (Пользователь) не позднее одного месяца до срока окончания действия криптографического ключа должен инициировать проведение его плановой смены, в случае необходимости инициировать проведение внеплановой смены криптографического ключа. Криптографические ключи с истекшим сроком действия не используются. Взаимодействие с Банком России по вопросам управления ключами со стороны Клиента (Пользователя) осуществляется АКС Клиента. Для обеспечения бесперебойной работы по управлению криптографическими ключами рекомендуется назначать не менее двух АКС Клиента (Пользователя).

5. Клиент обеспечивает сохранность своих криптографических ключей и обеспечение косвенным участником Клиента сохранности его криптографических ключей.

Пользователь обеспечивает сохранность своих криптографических ключей.

6. Организационно-техническая информация, необходимая для взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя), доводится в Регламенте взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя) при управлении криптографическими ключами (далее - Регламент), предоставляемом Клиенту (косвенному участнику Клиента, Пользователю) подразделением Банка России, в лице которого Банк России заключил Договор.

Клиент (Пользователь) обязуется соблюдать положения, приведенные в Регламенте. Клиент включает в договор с косвенным участником Клиента условие о выполнении косвенным участником Клиента Регламента.

7. Регламент содержит следующее.

7.1. Порядок получения ключей регистрации.

7.2. Порядок изготовления и сертификации криптографических ключей.

7.3. Порядок изготовления регистрационной карточки сертификата ключа на бумажном носителе.

7.4. Порядок плановой и внеплановой смены криптографических ключей.

7.5. Порядок действий в случае компрометации криптографических ключей.

7.6. Порядок действий с криптографическими ключами в случае доступа (подозрении на доступ) к ним неуполномоченных лиц, а также в случае прекращения полномочий работников по доступу к указанным ключам.

7.7. Порядок уничтожения криптографических ключей.

7.8. Порядок взаимодействия АКС Клиента (Пользователя) и АКС Банка России по вопросам управления ключевой системой.

7.9. Наименование регистрационного центра.

8. Особенности управления криптографическими ключами косвенного участника Клиента.

Клиенту при формировании договора, заключаемого между Клиентом и косвенным участником Клиента, в части управления криптографическими ключами косвенного участника Клиента следует руководствоваться настоящими Условиями, в том числе следующим.

8.1. Клиент доводит до косвенного участника Клиента настоящие Условия и Регламент.

8.2. Косвенный участник Клиента назначает АКС и доводит эту информацию до Клиента.

8.3. Клиент передает информацию об АКС косвенного участника Клиента в регистрационный центр для возможности получения АКС косвенного участника Клиента в регистрационном центре ключей регистрации.

8.4. АКС косвенного участника Клиента самостоятельно получает ключи регистрации в регистрационном центре.

8.5. Генерация криптографических ключей косвенного участника Клиента осуществляется либо самостоятельно АКС косвенного участника Клиента на технических средствах косвенного участника Клиента, технических средствах Клиента, технических средствах Банка России, либо АКС Клиента на технических средствах Клиента в присутствии АКС косвенного участника Клиента. Доступ к криптографическим ключам косвенного участника Клиента со стороны АКС Клиента должен быть исключен.

8.6. Дальнейшее взаимодействие по управлению криптографическими ключами косвенного участника Клиента осуществляется между АКС косвенного участника Клиента и АКС Клиента с последующим взаимодействием АКС Клиента с АКС Банка России и производится в соответствии с Регламентом.

9. Регистрационная карточка сертификата ключа изготавливается в двух экземплярах и содержит:

наименование владельца ключа электронной подписи;

наименование применяемого СКЗИ;

информацию, идентифицирующую ключ электронной подписи (идентификатор и (или) номер ключа электронной подписи, идентификатор и (или) номер серии);

информацию о назначении ключа электронной подписи (область применения);

распечатку ключа проверки электронной подписи в шестнадцатеричной системе счисления;

даты начала и окончания действия ключа электронной подписи;

даты начала и окончания действия ключа проверки электронной подписи;

фамилию и инициалы, должность и подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от его имени регистрационных карточек сертификатов ключей, заверенные оттиском печати владельца ключа электронной подписи (при ее наличии);

фамилию и инициалы, подпись АКС Банка России.

Регистрационная карточка сертификата ключа косвенного участника Клиента дополнительно заверяется собственноручной подписью руководителя (лица, его замещающего, или уполномоченного лица) Клиента, а также печатью Клиента (при ее наличии).

Регистрационная карточка сертификата ключа может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна содержать подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от имени Клиента (Пользователя) регистрационных карточек сертификатов ключей Клиента (Пользователя), заверенную оттиском печати владельца ключа электронной подписи (при ее наличии).

Один экземпляр регистрационной карточки сертификата ключа на бумажном носителе хранится в регистрационном центре, другой - у владельца ключа. Ключ электронной подписи считается зарегистрированным со дня передачи в регистрационный центр надлежащим образом заверенного экземпляра регистрационной карточки сертификата ключа на бумажном носителе.

Порядок ввода в действие ключей электронной подписи и ключей шифрования определяются Регламентом.

10. При компрометации или подозрении на компрометацию криптографического ключа использование скомпрометированного ключа должно быть прекращено. Пользователь ключа в соответствии с внутренним регламентом обязан немедленно проинформировать о факте компрометации/подозрении на компрометацию АКС, АИБ и Руководителя Клиента (Пользователя). В случае принятия Клиентом (Пользователем) решения о компрометации криптографического ключа Клиент (Пользователь) должен уведомить регистрационный центр о необходимости отзыва сертификата скомпрометированного ключа и проведении его внеплановой смены.

По факту компрометации криптографического ключа владелец ключа организовывает служебное расследование, результаты которого оформляются актом. Клиент (Пользователь) обязан направить письмо с приложенным экземпляром указанного акта Клиента (Пользователя) или косвенного участника Клиента в регистрационный центр не позднее трех рабочих дней со дня окончания расследования.

11. В случае увольнения или прекращения полномочий работника по доступу к криптографическому ключу заблаговременно, в сроки, установленные Регламентом, должна быть проведена замена криптографического ключа, к которому указанный работник имел единоличный доступ.

12. Уничтожение криптографических ключей на ключевых носителях проводится комиссией, состоящей из представителей Клиента (Пользователя), с составлением акта (для косвенного участника Клиента в комиссию включаются также представители косвенного участника Клиента).

Приложение 3
к Условиям защиты информации

ПОРЯДОК
НАПРАВЛЕНИЯ ОБРАЩЕНИЙ О ПРИОСТАНОВЛЕНИИ (ВОЗОБНОВЛЕНИИ)
ОБМЕНА ЭС ИЛИ ЗАЯВЛЕНИЙ О ПРИОСТАНОВЛЕНИИ (ВОЗОБНОВЛЕНИИ)
ОБМЕНА ФС В СЛУЧАЕ ВЫЯВЛЕНИЯ ИНЦИДЕНТА, СВЯЗАННОГО
С НЕСОБЛЮДЕНИЕМ КЛИЕНТОМ (ПОЛЬЗОВАТЕЛЕМ) ТРЕБОВАНИЙ
К ЗАЩИТЕ ИНФОРМАЦИИ

1. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, Клиент (Пользователь) вправе направить в Банк России обращение о приостановлении обмена ЭС в платежной системе Банка России или заявление о приостановлении оказания услуг по передаче ФС через СПФС.

По результатам устранения причин инцидента Клиент (Пользователь) должен направлять обращение о возобновлении обмена ЭС (заявление о возобновлении оказания услуг по передаче ФС через СПФС), при получении которого Банк России снимает ранее введенное ограничение для возобновления обмена ЭС (оказания услуг по передаче ФС через СПФС) с Клиентом (Пользователем).

2. Обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС) (далее при совместном упоминании - обращения (заявления) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления обращения (заявления) с использованием технической инфраструктуры (автоматизированной системы) Банка России обращение (заявление) должно направляться с использованием резервного способа взаимодействия.

При возобновлении возможности направления обращений (заявлений) с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить обращение (заявление) с использованием технической инфраструктуры (автоматизированной системы) Банка России.

3. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия Клиента (Пользователя) с Банком России, с помощью которого направляются обращения (заявления), размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

4. В целях направления обращений (заявлений) Клиент (Пользователь) должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (заявлений), и направление в Банк России письма, содержащего информацию об уполномоченных лицах, не позднее следующего дня после дня их назначения или изменения.

Указанное письмо составляется по форме, размещенной на сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/, и направляется в Банк России (Департамент информационной безопасности) не позднее рабочего дня, следующего за днем их назначения или изменения, с использованием федеральной почтовой связи или личного кабинета (для Клиентов, являющихся кредитными организациями).

5. Одновременно с направлением обращений (заявлений) Клиент (Пользователь) должен направить копию обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) или обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (Пользователя) (при ее наличии), по факсимильной связи либо по электронной почте в соответствии с контактными данными, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

Не позднее одного рабочего дня после дня направления обращения (заявления) Клиент (Пользователь) должен направить оригинал обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) или о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (Пользователя) (при ее наличии), в Банк России с использованием федеральной почтовой связи или личного кабинета (для Клиентов, являющихся кредитными организациями).

6. Формы обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) и обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), направляемых в письменном виде, а также с использованием технической инфраструктуры (автоматизированной системы) Банка России или с использованием резервного способа, размещены на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

Приложение 4
к Условиям защиты информации

УРЕГУЛИРОВАНИЕ СПОРОВ И РАЗНОГЛАСИЙ ПРИ ОБМЕНЕ ЭС

1. Споры и разногласия при обмене ЭС, возникающие вследствие неисполнения или ненадлежащего исполнения Клиентом или Банком России обязательств по Договору, неотъемлемой частью которого являются настоящие Условия, или в связи с ним, разрешаются путем переговоров, создания согласительной комиссии, а в случае невозможности разрешения существующих разногласий рассматриваются в судебном порядке в соответствии с законодательством Российской Федерации.

2. Для урегулирования разногласий при обмене ЭС, установления фактических обстоятельств, послуживших основанием для их возникновения, а также для проверки подлинности и контроля целостности ЭС Банком России совместно с Клиентом создается согласительная комиссия (далее - комиссия).

3. При возникновении разногласий в связи с обменом ЭС при переводе денежных средств в рамках платежной системы Банка России заявляющая разногласие Сторона (Клиент либо Банк России) (далее - Сторона-инициатор) направляет другой Стороне (Клиенту либо Банку России) заявление о разногласиях, подписанное уполномоченным должностным лицом, с изложением причин разногласий и предложением создать комиссию.

В заявлении указываются:

наименование Стороны-инициатора;

тип и описание претензии;

фамилии, инициалы и занимаемые должности представителей Стороны-инициатора, которые будут участвовать в работе комиссии;

место, время и дату сбора комиссии (не позднее семи рабочих дней со дня отправления заявления).

До подачи заявления Сторона-инициатор обязана убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии нарушения целостности информационной инфраструктуры и несанкционированных действий со стороны персонала, обслуживающего АРМ обмена.

4. В состав комиссии включается равное количество представителей каждой Стороны, но не более пяти человек, включая представителей службы безопасности и юридической службы (при их наличии).

Члены комиссии от каждой Стороны назначаются приказом либо иным распорядительным актом соответствующей Стороны.

В случае необходимости привлечения независимых специалистов, не представляющих какую-либо из Сторон и имеющих официально подтвержденную квалификацию, данные специалисты включаются в состав комиссии по письменному соглашению Сторон сверх квоты представителей Сторон, определяемой в соответствии с абзацем первым настоящего пункта.

Порядок оплаты работы независимых специалистов в комиссии определяется по соглашению Сторон.

5. Комиссия создается на срок до 10 рабочих дней. В случае необходимости срок работы комиссии по согласованию Сторон может быть продлен до 30 рабочих дней.

6. Стороны обязуются оказывать содействие в работе комиссии и не допускать отказа от представления необходимых документов, за исключением случаев, предусмотренных законодательством Российской Федерации.

7. Стороны обязуются предоставить комиссии возможность ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для обмена ЭС (АРМ обмена).

8. Клиент обязуется предоставлять членам комиссии доступ в помещение, где размещается АРМ обмена, для проведения проверок соблюдения Клиентом настоящих Условий.

9. Работа комиссии проходит в два этапа.

9.1. Первый этап - подготовительный.

9.1.1. Комиссия устанавливает ПО СКЗИ, предоставленное Банком России, на СВТ с системным ПО, удовлетворяющим требованиям эксплуатационной документации на СКЗИ. Установленное ПО СКЗИ принимается для работы Комиссии.

9.1.2. По запросу Комиссии ей передаются: необходимые сертификаты ключей Банка России и сертификат Клиента с соответствующими регистрационными карточками, справочник сертификатов ключей с АРМ обмена Клиента, актуальный на момент обработки оспариваемого ЭС, и другие материалы.

Комиссия сравнивает сертификаты ключа Банка и Клиента с соответствующими регистрационными карточками. При положительном результате сравнения сертификаты ключей используются в работе комиссии.

9.2. Второй этап - проверка и анализ спорных ЭС.

9.2.1. Комиссией рассматриваются разногласия следующих типов:

Сторона-отправитель утверждает, что не направляла ЭС, а Сторона-получатель утверждает, что ЭС было получено;

Сторона-получатель утверждает, что не получала ЭС, а Сторона-отправитель утверждает, что ЭС было направлено.

9.2.2. Разрешение разногласий первого типа осуществляется в следующем порядке.

Сторона-получатель представляет ЭС, оспариваемое Стороной-отправителем.

Комиссия осуществляет проверку электронной подписи Стороны-отправителя с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС комиссия подтверждает факт направления Стороной-отправителем ЭС Стороне-получателю.

Если Сторона-отправитель настаивает на том, что данное ЭС она не отправляла, комиссия может дополнительно сделать вывод о возможной компрометации ключа электронной подписи Стороны-отправителя.

На основе отрицательного результата проверки электронной подписи Стороны-отправителя по оспариваемому ЭС комиссия подтверждает факт, что Сторона-отправитель не направляла ЭС Стороне-получателю.

9.2.3. Разрешение разногласий второго типа осуществляется в следующем порядке.

Сторона-отправитель представляет ЭС, полученное от Стороны-получателя, о результатах проверки электронной подписи в ЭС Стороны-отправителя (независимо от того, с каким результатом (положительным или отрицательным) завершена проверка), что свидетельствует о получении ЭС Стороной-получателем.

Комиссия осуществляет проверку электронной подписи в ЭС, предоставленном Стороной-отправителем, с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, комиссия подтверждает факт того, что Сторона-получатель получила ЭС.

На основе отрицательного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, или в случае непредставления ЭС Стороной-отправителем комиссия подтверждает факт того, что Сторона-получатель не получала ЭС.

Комиссия не принимает к рассмотрению претензии по ЭС, для которых Альбомом УФЭБС не предусмотрено получение подтверждения о получении ЭС от Стороны-получателя, снабженного электронной подписью Стороны-получателя.

10. По итогам работы комиссии составляется акт, содержащий:

описание фактических обстоятельств, послуживших основанием для возникновения разногласий;

описание работ, проведенных членами комиссии;

вывод по результатам работы комиссии по оспариваемому ЭС, в том числе о причинах возникновения инцидента, и его обоснование;

рекомендации по предотвращению возникновения инцидентов.

Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта для принятия итогового согласованного решения. Члены комиссии, не согласные с мнением большинства, вправе изложить особое мнение, которое прикладывается к акту.

11. Если в течение двух рабочих дней на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен или был получен отказ от участия в работе комиссии, или другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 10 настоящего порядка. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.

12. Акт комиссии является основанием для принятия Сторонами окончательного решения, которое должно быть подписано Сторонами не позднее 10 (десяти) рабочих дней после дня окончания работы комиссии.

Приложение 5
к Условиям защиты информации

ТРЕБОВАНИЯ К ИСПОЛЬЗОВАНИЮ СКЗИ

1. Защита информации Клиентами (косвенными участниками Клиента, Пользователями) с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350, и технической документацией на СКЗИ.

2. Для подписания электронных сообщений и обеспечения шифрования на прикладном уровне используются следующие СКЗИ: программный комплекс "Сигнатура-Клиент", система криптографической защиты информации автоматизированных систем Банка России "Янтарь", система криптографической авторизации электронных документов "Сигнатура-L".

3. Установка и настройка СКЗИ на АРМ обмена выполняются Клиентами (косвенными участниками Клиента, Пользователем) с учетом требований, изложенных в эксплуатационной документации на СКЗИ. При каждом запуске АРМ обмена должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

4. Определяется порядок учета, хранения и использования ключевых носителей (ключевых идентификаторов Touch Memory, ключевых Smart-карточек и других носителей ключевой информации), который должен полностью исключать возможность неконтролируемого доступа к ним.

5. Полномочия лиц, имеющих доступ к криптографическим ключам, должны быть определены распорядительным документом, подписанным руководителем (лицом, его замещающим) Клиента (косвенного участника Клиента, Пользователя) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

6. Для хранения ключевых носителей с криптографическими ключами должны использоваться надежные металлические шкафы (сейфы). Хранение ключевых носителей допускается в одном металлическом шкафу (сейфе) с другими документами в отдельной упаковке, исключающей неконтролируемый доступ к ключевым носителям.

7. В течение рабочего дня вне времени составления, передачи и приема ЭС или ФС, а также по окончании рабочего дня носители ключевой информации с криптографическими ключами помещаются в металлические шкафы (сейфы).

8. Не допускается:

снимать несанкционированные копии с носителей ключевой информации, оставлять ключевые носители без присмотра, в том числе в считывателе АРМ обмена;

знакомить с содержанием носителей ключевой информации лиц, к ней не допущенных, а также передавать им носители ключевой информации;

выводить криптографические ключи на устройство отображения (дисплей, монитор) электронно-вычислительной машины (ЭВМ) или устройство печати (принтер);

устанавливать носители с криптографическими ключами в считывающее устройство АРМ обмена, программные средства которого функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

записывать на носители ключевой информации постороннюю информацию.

Приложение 6
к Условиям защиты информации

ТРЕБОВАНИЯ
К ФОРМИРОВАНИЮ ЭЛЕКТРОННЫХ СООБЩЕНИЙ И КОНТРОЛЮ РЕКВИЗИТОВ
ЭЛЕКТРОННЫХ СООБЩЕНИЙ

1. Формирование электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре Клиента должны осуществляться с учетом следующего.

1.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре Клиента должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.

1.2. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре Клиента должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности Клиентов.

1.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:

формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;

направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.

1.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:

контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;

контроль на отсутствие дублирования исходящих электронных сообщений;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

Задайте вопрос юристу:
+7 (499) 703-46-71 - для жителей Москвы и Московской области
+7 (812) 309-95-68 - для жителей Санкт-Петербурга и Ленинградской области