Письмо Банка России от 25 апреля 2023 г. № 56-23/731 “О порядке перехода на электронные формы СТО БР БФБО-1.5-2023 в АСОИ ФинЦЕРТ”
Благодарим Вас за предоставленный ответ на запрос Департамента информационной безопасности Банка России (далее - ДИБ) о порядке внедрения стандарта Банка России СТО БР БФБО-1.5-2023 "Безопасность финансовых (банковских) операций. Управление инцидентами, связанными с реализацией информационных угроз, и инцидентами операционной надежности. О формах и сроках взаимодействия Банка России с кредитными организациями, некредитными финансовыми организациями и субъектами национальной платежной системы при выявлении инцидентов, связанных с реализацией информационных угроз, и инцидентов операционной надежности" (далее - СТО БР БФБО-1.5-2023), утвержденного и введенного в действие приказом Банка России от 08.02.2023 N ОД-215, и за заданные вопросы, информация по которым приведена в приложении к настоящему письму.
Также информируем, что ДИБ в части организационных вопросов планирует осуществлять выпуск информационных бюллетеней и проведение вебинаров по использованию электронных форм при работе в АСОИ ФинЦЕРТ. При этом стандартным каналом коммуникации кредитных организаций с ФинЦЕРТ является направление запроса в АСОИ ФинЦЕРТ (см. информационный бюллетень FinCERT-20220113-INFO "О направлении вопросов по работе в АСОИ ФинЦЕРТ").
В части этапности реализации взаимодействия с ФинЦЕРТ по новым форматам предполагается следующий порядок действий:
- в IV квартале 2023 года планируется перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов (NTF_OWC_SNPS, NTF_OWC_OEP, NTF_OWC_OFP и REQ_OWC_Identification, RESP_OWC_Identification), а также на обработку запросов Банка России, направляемых операторам по переводу денежных средств, в целях получения данных об операциях без согласия на основании сведений о совершенных противоправных действиях от МВД России (REQ_OWC_UUID и RESP_OWC_UUID);
- внедрение остальных электронных форм из раздела 5 СТО БР БФБО-1.5-2023 предполагается реализовать в 2024 году;
- взаимодействие с ФинЦЕРТ при выявлении инцидентов защиты информации и инцидентов операционной надежности (раздел 6 СТО БР БФБО-1.5-2023) на текущий момент предлагается осуществлять на основе web-форм (файлов в формате HTML), размещаемых на информационном портале АСОИ ФинЦЕРТ (portal.rincert.cbr.ru). В последующем при развитии личного кабинета Участника АСОИ ФинЦЕРТ использование данных электронных форм будет добавлено в функционал АСОИ ФинЦЕРТ для возможности ручного и машинного взаимодействия;
- взаимодействие с ФинЦЕРТ в части разделов 7, 8 и 9 СТО БР БФБО-1.5-2023 будет осуществляться посредством АСОИ ФинЦЕРТ в текущем режиме до момента перехода на соответствующие обновления АСОИ ФинЦЕРТ, о чем будет сообщено дополнительно информационными бюллетенями ФинЦЕРТ.
Надеемся на дальнейшее плодотворное сотрудничество с Ассоциацией банков России.
Приложение: 1 файл.
Директор Департамента информационной безопасности |
В.А. Уваров |
Приложение
Ответы на вопросы участников Ассоциации банков России
по использованию электронных форм СТО БР БФБО-1.5-2023
Вопросы от Ассоциации банков России | Ответы ДИБ Банка России | |
---|---|---|
1 | Технические вопросы: | |
1.1 | 1. В какие сроки будут готовы и доведены до кредитных организаций: | |
1.1.1 | тестовые ресурсы АСОИ ФинЦЕРТ (визуальные формы Личного кабинета и взаимодействие по API); | Обновление АСОИ ФинЦЕРТ в зоне опытной эксплуатации (на «тестовых ресурсах») появится не ранее второй половины лета 2023 года (в части отладки работы с электронными формами: NTF_OWC_SNPS, NTF_OWC_OEP, NTF_OWC_OFP, REQ_OWC_Identification, RESP_OWC_Identification, REQ_OWC_UUID и RESP_OWC_UUID, внедрение остальных электронных форм предполагается осуществить в 2024 году). |
1.2 | техническая документация, реализующая новый Стандарт взаимодействия и описывающая: | |
1.2.1 | вызовы API АСОИ ФинЦЕРТ; | Описание API будет доступно после установки обновлений АСОИ ФинЦЕРТ в зоне опытной эксплуатации. |
1.2.2 | форматы, схемы данных запросов/ ответов/ уведомлений и электронных форм API АСОИ ФинЦЕРТ; | Примеры использования API будут предоставлены в виде информационных бюллетеней и документов на информационном портале АСОИ ФинЦЕРТ после установки обновлений АСОИ ФинЦЕРТ в зоне опытной эксплуатации. Сведения по валидации полей должны быть предоставлены разработчиком вместе с описанием схем данных. |
1.2.3 | условия заполнения и параметры валидации полей электронных форм в личном кабинете участника и в режиме взаимодействия по API; | |
1.2.4 | параметры оценки и порядок формирования значений для заполнения критериев легитимности операции без согласия, характеризующие: o плательщика; o получателя средств; o операцию; |
При заполнении критериев легитимности операций без согласия клиентов на первоначальном этапе необходимо будет руководствоваться перечнем ключей, указанным в приложении 28 к СТО БР БФБО-1.5-2023. В дальнейшем, по мере формирования статистики и на основе, в том числе направляемых предложений по дополнению перечня критериев легитимности, включенных в текущую редакцию СТО БР БФБО-1.5-2023, возможно будут подготовлены методические рекомендации по выбору ключей в критериях легитимности, а также расширение перечня критериев в будущих редакциях стандарта. |
1.2.5 | примеры корректно заполненных запросов и инцидентов всех типов в соответствии со Стандартом? | На текущий момент точных сроков реализации нет. Информация о реализации примеров запросов и инцидентов всех типов в соответствии со СТО БР БФБО-1.5-2023 будет доведена до организаций финансовой сферы дополнительно. |
2 | Организационно-технологические вопросы: | |
2.1 | 2. Каковы сроки и условия переходного периода, в который будет применяться порядок взаимодействия как из текущей, так и из новой редакции Стандарта: | |
2.1.1 | - для визуального интерфейса Личного кабинета участника АСОИ ФинЦЕРТ; | Предполагается, что возможность использования новых форм по операциям без согласия (в части первоочередных электронных форм по разделу 5 СТО БР БФБО-1.5-2023) в ЛКУ АСОИ ФинЦЕРТ (зона промышленной эксплуатации) появится ориентировочно 20.10.2023. При этом, предварительно будет проведено обновление зоны опытной эксплуатации («тестовых ресурсов») для тестирования и возможности ознакомления с новым функционалом личного кабинета АСОИ ФинЦЕРТ. |
2.1.2 | - для взаимодействия по API; | Будет организован переходный период, в течение которого будут поддерживаться старый и новый форматы обмена посредством API. |
2.1.3 | - для тестовых ресурсов АСОИ ФинЦЕРТ, включая текущее API с текущей схемой данных (необходимо для обеспечения сопровождения текущих эксплуатационных процедур)? | |
2.2 | 3. Каковы срок и условия перехода на взаимодействие с Банком России по предоставлению: | |
2.2.1 | - данных о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента (формы данных NTF_OWC_*); | С учетом имеющихся планов по поддержке старого API в части обработки запросов по операциям без согласия клиентов, на данный момент точной информации по срокам перехода нет (ориентировочно, перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов планируется в IV квартале 2023 года, см. также ответ на вопрос в п.1.1.1). |
2.2.2 | ответов на запросы Банка России (в новом формате) - на запросы по операциям без согласия (формы данных REQ_OWC_* RESPOWC*); | |
2.2.3 | ответов на запросы Банка России (в новом формате) в целях получения данных об операции без согласия на основании сведений о совершенных противоправных действиях от федерального органа исполнительной власти в сфере внутренних дел (формы данных REQ OWC UUID, RESPOWCUUID); | Указанные формы (REQ_OWC_UUID и RESP_OWC_UUID) будут внедрены в IV квартале 2023 года. |
2.2.4 | информации и ответов на запросы об инцидентах защиты информации в новом формате (формы данных *_ISI_*), об инцидентах операционной надежности в новом формате (формы данных *_ORI_*), о выявленной компьютерной атаке или уязвимости информационной безопасности (формы данных *_1ЕР_*), другим формам? | Промежуточное решение предусматривает взаимодействие с ФинЦЕРТ при выявлении инцидентов защиты информации и инцидентов операционной надежности (раздел 6 СТО БР БФБО-1.5-2023) на основе web-форм (файлов в формате HTML), размещаемых на информационном портале АСОИ ФинЦЕРТ (portal.fincert.cbr.ru). Реализация целевого решения в АСОИ ФинЦЕРТ запланирована в 2024 году. |
2.3 | 4. Какое количество запросов REQ_OWC_UUID планируется направлять в адрес кредитной организации в течение дня/ месяца? | Количество запросов, которые будут направляться в сторону кредитных организаций на ежедневной основе, оценить в данный момент не представляется возможным. Вместе с тем на текущий момент общее число обращений граждан в органы МВД России по всей стране составляет около 2000 единиц в сутки. |
Обзор документа
Банк России ответил на вопросы по использованию электронных форм СТО БР БФБО-1.5-2023.
Приведен порядок действий в рамках поэтапного перехода на взаимодействие с ФинЦЕРТ по новым форматам. Так, в IV квартале 2023 г. планируется перейти на новые электронные формы по направлению и обработке сведений по операциям без согласия клиентов, а также на обработку запросов Банка России, направляемых операторам по переводу денежных средств, в целях получения данных об операциях без согласия на основании сведений о совершенных противоправных действиях от МВД.