Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Письмо Банка России от 25 апреля 2023 г. № 56-23/731 “О порядке перехода на электронные формы СТО БР БФБО-1.5-2023 в АСОИ ФинЦЕРТ”

Обзор документа

Письмо Банка России от 25 апреля 2023 г. № 56-23/731 “О порядке перехода на электронные формы СТО БР БФБО-1.5-2023 в АСОИ ФинЦЕРТ”

Благодарим Вас за предоставленный ответ на запрос Департамента информационной безопасности Банка России (далее - ДИБ) о порядке внедрения стандарта Банка России СТО БР БФБО-1.5-2023 "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" (далее - СТО БР БФБО-1.5-2023), утвержденного и введенного в действие приказом Банка России от 08.02.2023 N ОД-215, и за заданные вопросы, информация по которым приведена в приложении к настоящему письму.

Также информируем, что ДИБ в части организационных вопросов планирует осуществлять выпуск информационных бюллетеней и проведение вебинаров по использованию электронных форм при работе в АСОИ ФинЦЕРТ. При этом стандартным каналом коммуникации кредитных организаций с ФинЦЕРТ является направление запроса в АСОИ ФинЦЕРТ (см. информационный бюллетень FinCERT-20220113-INFO "О направлении вопросов по работе в АСОИ ФинЦЕРТ").

В части этапности реализации взаимодействия с ФинЦЕРТ по новым форматам предполагается следующий порядок действий:

- в IV квартале 2023 года планируется перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов (NTF_OWC_SNPS, NTF_OWC_OEP, NTF_OWC_OFP и REQ_OWC_Identification, RESP_OWC_Identification), а также на обработку запросов Банка России, направляемых операторам по переводу денежных средств, в целях получения данных об операциях без согласия на основании сведений о совершенных противоправных действиях от МВД России (REQ_OWC_UUID и RESP_OWC_UUID);

- внедрение остальных электронных форм из раздела 5 СТО БР БФБО-1.5-2023 предполагается реализовать в 2024 году;

- взаимодействие с ФинЦЕРТ при выявлении инцидентов защиты информации и инцидентов операционной надежности (раздел 6 СТО БР БФБО-1.5-2023) на текущий момент предлагается осуществлять на основе web-форм (файлов в формате HTML), размещаемых на информационном портале АСОИ ФинЦЕРТ (portal.rincert.cbr.ru). В последующем при развитии личного кабинета Участника АСОИ ФинЦЕРТ использование данных электронных форм будет добавлено в функционал АСОИ ФинЦЕРТ для возможности ручного и машинного взаимодействия;

- взаимодействие с ФинЦЕРТ в части разделов 7, 8 и 9 СТО БР БФБО-1.5-2023 будет осуществляться посредством АСОИ ФинЦЕРТ в текущем режиме до момента перехода на соответствующие обновления АСОИ ФинЦЕРТ, о чем будет сообщено дополнительно информационными бюллетенями ФинЦЕРТ.

Надеемся на дальнейшее плодотворное сотрудничество с Ассоциацией банков России.

Приложение: 1 файл.

Директор Департамента
информационной безопасности 
В.А. Уваров

Приложение

Ответы на вопросы участников Ассоциации банков России
по использованию электронных форм СТО БР БФБО-1.5-2023

    Вопросы от Ассоциации банков России Ответы ДИБ Банка России
1 Технические вопросы:
1.1 1. В какие сроки будут готовы и доведены до кредитных организаций:
1.1.1 тестовые ресурсы АСОИ ФинЦЕРТ (визуальные формы Личного кабинета и взаимодействие по API); Обновление АСОИ ФинЦЕРТ в зоне опытной эксплуатации (на «тестовых ресурсах») появится не ранее второй половины лета 2023 года (в части отладки работы с электронными формами: NTF_OWC_SNPS, NTF_OWC_OEP, NTF_OWC_OFP, REQ_OWC_Identification, RESP_OWC_Identification, REQ_OWC_UUID и RESP_OWC_UUID, внедрение остальных электронных форм предполагается осуществить в 2024 году).
1.2 техническая документация, реализующая новый Стандарт взаимодействия и описывающая:
1.2.1 вызовы API АСОИ ФинЦЕРТ; Описание API будет доступно после установки обновлений АСОИ ФинЦЕРТ в зоне опытной эксплуатации.
1.2.2 форматы, схемы данных запросов/ ответов/ уведомлений и электронных форм API АСОИ ФинЦЕРТ; Примеры использования API будут предоставлены в виде информационных бюллетеней и документов на информационном портале АСОИ ФинЦЕРТ после установки обновлений АСОИ ФинЦЕРТ в зоне опытной эксплуатации. Сведения по валидации полей должны быть предоставлены разработчиком вместе с описанием схем данных.
1.2.3 условия заполнения и параметры валидации полей электронных форм в личном кабинете участника и в режиме взаимодействия по API;
1.2.4 параметры оценки и порядок формирования значений для заполнения критериев легитимности операции без согласия, характеризующие: o плательщика; o получателя средств; o операцию; При заполнении критериев легитимности операций без согласия клиентов на первоначальном этапе необходимо будет руководствоваться перечнем ключей, указанным в
приложении 28 к СТО БР БФБО-1.5-2023. В дальнейшем, по мере формирования статистики и на основе, в том числе направляемых предложений по дополнению перечня критериев легитимности, включенных в текущую редакцию СТО БР БФБО-1.5-2023, возможно будут подготовлены методические рекомендации по выбору ключей в критериях легитимности, а также расширение перечня критериев в будущих редакциях стандарта.
1.2.5 примеры корректно заполненных запросов и инцидентов всех типов в соответствии со Стандартом? На текущий момент точных сроков реализации нет. Информация о реализации примеров запросов и инцидентов всех типов в соответствии со СТО БР БФБО-1.5-2023 будет доведена до организаций финансовой сферы дополнительно.
2 Организационно-технологические вопросы:
2.1 2. Каковы сроки и условия переходного периода, в который будет применяться порядок взаимодействия как из текущей, так и из новой редакции Стандарта:
2.1.1 - для визуального интерфейса Личного кабинета участника АСОИ ФинЦЕРТ; Предполагается, что возможность использования новых форм по операциям без согласия (в части первоочередных электронных форм по разделу 5 СТО БР БФБО-1.5-2023) в ЛКУ АСОИ ФинЦЕРТ (зона промышленной эксплуатации) появится ориентировочно 20.10.2023. При этом, предварительно будет проведено обновление зоны опытной эксплуатации («тестовых ресурсов») для тестирования и возможности ознакомления с новым функционалом личного кабинета АСОИ ФинЦЕРТ.
2.1.2 - для взаимодействия по API; Будет организован переходный период, в течение которого будут поддерживаться старый и новый форматы обмена посредством API.
2.1.3 - для тестовых ресурсов АСОИ ФинЦЕРТ, включая текущее API с текущей схемой данных (необходимо для обеспечения сопровождения текущих эксплуатационных процедур)?
2.2 3. Каковы срок и условия перехода на взаимодействие с Банком России по предоставлению:
2.2.1 - данных о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента (формы данных NTF_OWC_*); С учетом имеющихся планов по поддержке старого API в части обработки запросов по операциям без согласия клиентов, на данный момент точной информации по срокам перехода нет (ориентировочно, перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов планируется в IV квартале 2023 года, см. также ответ на вопрос в п.1.1.1).
2.2.2 ответов на запросы Банка России (в новом формате) - на запросы по операциям без согласия (формы данных REQ_OWC_* RESPOWC*);
2.2.3 ответов на запросы Банка России (в новом формате) в целях получения данных об операции без согласия на основании сведений о совершенных противоправных действиях от федерального органа исполнительной власти в сфере внутренних дел (формы данных REQ OWC UUID, RESPOWCUUID); Указанные формы (REQ_OWC_UUID и RESP_OWC_UUID) будут внедрены в IV квартале 2023 года.
2.2.4 информации и ответов на запросы об инцидентах защиты информации в новом формате (формы данных *_ISI_*), об инцидентах операционной надежности в новом формате (формы данных *_ORI_*), о выявленной компьютерной атаке или уязвимости информационной безопасности (формы данных *_1ЕР_*), другим формам? Промежуточное решение предусматривает взаимодействие с ФинЦЕРТ при выявлении инцидентов защиты информации и инцидентов операционной надежности (раздел 6 СТО БР БФБО-1.5-2023) на основе web-форм (файлов в формате HTML), размещаемых на информационном портале АСОИ ФинЦЕРТ (portal.fincert.cbr.ru). Реализация целевого решения в АСОИ ФинЦЕРТ запланирована в 2024 году.
2.3 4. Какое количество запросов REQ_OWC_UUID планируется направлять в адрес кредитной организации в течение дня/ месяца? Количество запросов, которые будут направляться в сторону кредитных организаций на ежедневной основе, оценить в данный момент не представляется возможным. Вместе с тем на текущий момент общее число обращений граждан в органы МВД России по всей стране составляет около 2000 единиц в сутки.

Обзор документа


Банк России ответил на вопросы по использованию электронных форм СТО БР БФБО-1.5-2023.

Приведен порядок действий в рамках поэтапного перехода на взаимодействие с ФинЦЕРТ по новым форматам. Так, в IV квартале 2023 г. планируется перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов, а также на обработку запросов Банка России, направляемых операторам по переводу денежных средств, в целях получения данных об операциях без согласия на основании сведений о совершенных противоправных действиях от МВД.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ: