Продукты и услуги Информационно-правовое обеспечение ПРАЙМ Документы ленты ПРАЙМ Условия по защите информации (утв. Банком России 13 мая 2022 г.) (применяются с 13 июля 2022 г.)

Условия по защите информации (утв. Банком России 13 мая 2022 г.) (применяются с 13 июля 2022 г.)

7 июня 2022

Глава 1. Общие положения

1.1. Клиент для участия в обмене электронными сообщениями (далее - ЭС) в платежной системе Банка России или Пользователь для участия в обмене финансовыми сообщениями (далее - ФС) в системе передачи финансовых сообщений (далее - СПФС) выполняет требования по защите информации в соответствии с настоящими Условиями.

1.2. Настоящие Условия применяются для целей договора, заключаемого с Клиентом (Пользователем) и предусматривающего участие в обмене ЭС в платежной системе Банка России или в СПФС (далее - Договор).

1.3. Термины, используемые в настоящих Условиях, понимаются в значениях, определенных Федеральным законом от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - Федеральный закон N 161-ФЗ), установленных правилами платежной системы Банка России.

1.4. Кроме того, в настоящих Условиях используются следующие термины и сокращения:

администратор информационной безопасности (далее - АИБ) - лицо, назначенное Клиентом (Пользователем) и выполняющее обязанности по администрированию средств защиты и механизмов защиты, реализующих требования по обеспечению информационной безопасности;

администратор ключевой системы (далее - АКС) - лицо, назначенное владельцем криптографического ключа ответственным за управление криптографическими ключами, в том числе за формирование криптографических ключей и обеспечение безопасности криптографических ключей;

владелец ключа электронной подписи, ключа шифрования (владелец криптографического ключа) - Банк России, Клиент, Пользователь или косвенный участник платежной системы Банка России, являющийся клиентом участника обмена - Клиента (далее - косвенный участник Клиента);

инцидент - нарушение требований к обеспечению защиты информации при обмене ЭС или ФС, в том числе нарушение, которое привело или может привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств;

клиент косвенного участника с доступом к ТПСБП - лицо, заключившее с косвенным участником, имеющим доступ к услугам по трансграничному переводу денежных средств с использованием сервиса быстрых платежей платежной системы Банка России (далее - ТПСБП), договор, предусматривающий оказание услуг по переводу денежных средств;

клиент участника СБП, имеющего доступ к ТПСБП - лицо, заключившее договор с участником СБП, имеющим доступ к ТПСБП, предусматривающий оказание услуг по переводу денежных средств;

ключ электронной подписи - уникальная последовательность символов, предназначенная для создания электронной подписи с использованием средств криптографической защиты информации;

ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи;

ключ шифрования - уникальная последовательность символов, используемая при зашифровании и расшифровании ЭС и ФС;

ключевой носитель - отчуждаемый машинный носитель информации, содержащий криптографический ключ;

криптографический ключ - ключ электронной подписи и (или) ключ шифрования;

компрометация криптографического ключа - событие, определяемое владельцем криптографического ключа как ознакомление неуполномоченным лицом (лицами) с его криптографическим ключом;

косвенный участник Клиента - организация, соответствующая критериям, определенным для косвенных участников Клиента платежной системы Банка России нормативным актом Банка России на основании части 9 статьи 20 Федерального закона N 161-ФЗ;

косвенный участник Клиента с доступом к ТПСБП - иностранный банк (иностранная кредитная организация), иностранный центральный (национальный) банк, которому доступ к ТП СБП предоставляется через участника СБП с доступом к ТП СБП - кредитную организацию (ее филиал), международную финансовую организацию, клиентом которой он является, в соответствии с договором счета, заключенным указанным участником СБП с Банком России.

объекты информационной инфраструктуры - автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация и использование которых обеспечиваются кредитной организацией для осуществления банковских операций;

ОПКЦ СБП - операционный центр, платежный клиринговый центр внешней платежной системы, предоставляющий операционные услуги, услуги платежного клиринга при осуществлении перевода денежных средств с использованием сервиса быстрых платежей платежной системы Банка России; пользователь ключа электронной подписи, ключа шифрования (далее - пользователь криптографического ключа) - лицо, назначенное владельцем криптографического ключа и уполномоченное им использовать криптографический ключ от имени владельца криптографического ключа;

регистрационная карточка сертификата ключа проверки электронной подписи (далее - регистрационная карточка сертификата ключа) - документ, содержащий распечатку сертификата ключа проверки электронной подписи (включая распечатку в шестнадцатеричной системе счисления ключа проверки электронной подписи, наименование и иные реквизиты, идентифицирующие владельца ключа электронной подписи, подпись руководителя (лица, его замещающего) владельца ключа электронной подписи или лица из числа работников владельца ключа электронной подписи, уполномоченного на подписание регистрационной карточки сертификата ключа) от имени владельца ключа электронной подписи, а также оттиск печати (при ее наличии);

регистрационный центр - подразделение Банка России, выполняющее функции регистрации и сертификации ключей электронной подписи, а также управления ключами проверки электронной подписи Клиента, косвенного участника Клиента, Пользователя и ключами шифрования, применяемыми при обмене ЭС и ФС;

СБП - сервис быстрых платежей платежной системы Банка России;

сертификат ключа проверки электронной подписи - документ в электронном виде, выданный регистрационным центром и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа;

средства криптографической защиты информации (далее - СКЗИ) - аппаратные и (или) программные средства, обеспечивающие создание и проверку электронной подписи, создание ключей электронной подписи, а также реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при обмене ЭС по каналам связи либо с использованием отчуждаемых машинных носителей информации;

уполномоченное лицо - лицо, уполномоченное на подписание от имени Клиента, косвенного участника Клиента, Пользователя регистрационных карточек сертификатов ключей проверки электронной подписи, запросов на выпуск сертификатов ключей проверки электронной подписи, а также на направление и (или) подписание обращений (заявлений) о приостановлении (отмене приостановления) обмена ЭС или о приостановлении (возобновлении) оказания услуг по передаче ФС в случае выявления инцидента, связанного с несоблюдением Клиентом, Пользователем требований к защите информации, который привел или может привести к осуществлению перевода денежных средств без согласия клиента;

электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию.

1.5. Сведения о реализованных мерах и средствах защиты информации, в том числе сведения о ключевой информации, а также сведения, передаваемые Банком России и Клиентом, косвенным участником Клиента, Пользователем друг другу в ходе исполнения настоящих Условий, не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации или договором, заключенным Банком России, Клиентом, косвенным участником Клиента, Пользователем и третьим лицом.

1.6. Сведения, содержащиеся в ЭС Клиента (ФС Пользователя), и в ЭС, направленных Клиенту (ФС, направленных Пользователю) в ходе исполнения настоящих Условий, не подлежат передаче Банком России третьим лицам, за исключением случаев, установленных законодательством Российской Федерации и Договором.

1.7. При обмене в электронном виде сведениями о реализованных мерах и средствах защиты информации, а также материалами работы Согласительной комиссии, созданной в соответствии с приложением 4 к настоящим Условиям, применяются организационные и технические меры защиты информации, в том числе предназначенные для предотвращения несанкционированного доступа к содержанию защищаемой информации при передаче по открытым каналам связи, а также с использованием информационно-телекоммуникационной сети "Интернет". Клиент должен выполнять и обеспечивать выполнение косвенным участником Клиента требований, определенных настоящими Условиями, при обмене ЭС, осуществлять эксплуатацию и функционирование автоматизированного рабочего места обмена ЭС с платежной системой Банка России и (или) автоматизированного рабочего места обмена ФС с использованием системы СПФС (далее - АРМ обмена) в соответствии с требованиями эксплуатационной документации на АРМ обмена, полученной в соответствии с Условиями передачи программного обеспечения Клиенту Банка России.

1.8. Банк России вправе проверять выполнение Клиентом, косвенным участником Клиента, Пользователем требований к защите информации на соответствие сведениям, изложенным в акте о готовности к обмену ЭС (ФС) с Банком России.

1.9. Банк России уведомляет Клиента о приостановлении (отмене приостановления) обмена ЭС с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации с использованием технической инфраструктуры (автоматизированной системы) Банка России информация направляется с использованием резервного способа взаимодействия.

Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

2.1. Клиенты, являющиеся кредитными организациями (их филиалами), имеющие доступ к услугам по переводу денежных средств с использованием распоряжений в электронном виде (за исключением централизованных филиалов) и осуществлению обмена ЭС с прямым участником - клиентом Банка России, заключившим с Банком России договор об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России, обеспечивают выполнение требований подпунктов 2.3.4 - 2.3.6 пункта 2.3 и приложения 5 к настоящим Условиям.

2.2. Клиенты, являющиеся участниками СБП с доступом к ТПСБП, обеспечивают включение в договор с косвенными участниками с доступом к ТПСБП следующих требований к защите информации.

2.2.1. Косвенные участники с доступом к ТПСБП обеспечивают выполнение требований к защите информации в соответствии с требованиями законодательства иностранного государства по вопросам защиты информации и иных правовых актов, принятых в соответствии с ним.

2.2.2. В целях противодействия осуществлению переводов денежных средств без согласия клиента с использованием ТПСБП и обеспечения защиты информации при осуществлении переводов денежных средств с использованием ТПСБП косвенный участник с доступом к ТПСБП осуществляет формирование индикатора уровня риска операции в рамках реализуемой им системы управления рисками, применяемой для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, и его направление в электронном сообщении участнику СБП, имеющему доступ к ТПСБП.

В рамках реализации мер по выявлению и устранению причин и последствий компьютерных атак, направленных на объекты информационной инфраструктуры участника СБП, имеющего доступ к ТПСБП, и (или) его клиентов, а также предотвращению случаев и (или) попыток осуществления переводов денежных средств без согласия клиента, косвенный участник с доступом к ТПСБП осуществляет:

выявление информации о компьютерных атаках, проводимых с использованием идентификаторов клиента косвенного участника с доступом к ТПСБП, направленных на получение информации о клиентах участника СБП, имеющего доступ к ТПСБП, из формирующихся распоряжений о переводе денежных средств клиента косвенного участника с доступом к ТПСБП (далее - переборы идентификаторов клиентов);

блокировку идентификатора клиента косвенного участника с доступом к ТПСБП, используемого для осуществления переборов идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП;

уведомление участника СБП, имеющего доступ к ТПСБП, о блокировке идентификатора клиента косвенного участника с доступом к ТПСБП;

проверку информации о переборах идентификаторов клиентов участника СБП, имеющего доступ к ТПСБП, в том числе при получении уведомления о блокировке идентификатора клиента косвенного участника с доступ к ТПСБП;

доведение до участника СБП, имеющего доступ к ТПСБП, информации о результатах проведенной проверки.

2.3. Клиенты, не указанные в пункте 2.1, 2.2 настоящих Условий, в части требований к защите информации при обмене ЭС обеспечивают выполнение следующих требований.

2.3.1. Клиенты должны размещать объекты информационной инфраструктуры, используемые при обмене ЭС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Клиенты должны применять меры защиты информации, реализующие минимальный уровень (уровень 3) защиты информации, определенный национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

2.3.2. Документы Клиентов, определяющие порядок обеспечения защиты информации при обмене ЭС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации, состав и порядок использования технических средств защиты информации.

Документы должны приниматься в рамках следующих процессов (направлений) защиты информации, определенных ГОСТ Р 57580.1-2017:

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

защита информации при осуществлении удаленного логического доступа с использованием мобильных (переносных) устройств.

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ЭС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ЭС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ЭС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

2.3.3. Клиенты при обмене ЭС в платежной системе Банка России с использованием СКЗИ должны обеспечивать выполнение требований, указанных в приложении 5 к настоящим Условиям.

2.3.4. Передача и прием ЭС осуществляются Клиентом с использованием автоматизированного рабочего места обмена ЭС с платежной системой Банка России. Автоматизированное рабочее место обмена должно быть реализовано с использованием программного комплекса, предоставляемого Банком России в соответствии с Условиями передачи программного обеспечения Клиенту Банка России, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/mcirabis/.

2.3.5. Клиенты должны обеспечивать хранение входящих и исходящих ЭС, подписанных электронной подписью, не менее пяти лет.

2.3.6. При обмене ЭС при переводе денежных средств в рамках платежной системы Банка России Клиентом должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Клиент признают, что:

внесение изменений в ЭС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

формирование подлинной электронной подписи возможно только при использовании ключа электронной подписи владельца.

2.3.7. Клиенты при обмене ЭС между Клиентом и Банком России должны руководствоваться Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

2.3.8. Организационные меры и (или) технические средства защиты информации, используемые при обмене ЭС, применяются с учетом следующих требований.

Клиенты должны обеспечивать защиту ЭС, подлежащих передаче (направлению) в платежную систему Банка России:

формированием ЭС и контролем реквизитов ЭС в информационной инфраструктуре Клиента в соответствии с приложением 6 к настоящим Условиям, а также использованием двух усиленных электронных подписей для контроля целостности и подтверждения подлинности ЭС;

применением третьего варианта защиты, предусмотренного Альбомом электронных сообщений, размещенным на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу www.cbr.ru/development/Formats/ (далее - Альбом ЭС);

шифрованием ЭС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в государственном стандарте Российской Федерации ГОСТ Р ИСО/МЭК 7498-1-99 "Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель", утвержденном постановлением Государственного комитета Российской Федерации по стандартизации и метрологии от 18 марта 1999 года N 78 (М., ИПК Издательство стандартов, 1999) (далее - ГОСТ Р ИСО/МЭК 7498-1-99), с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;

применением средств защиты информации, реализующих двухстороннюю аутентификацию и шифрование информации на уровне звена данных или сетевом уровне, в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности(1).

2.3.9. Клиенты должны информировать Банк России об инцидентах.

Информация об инцидентах должна направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России информация должна направляться с использованием резервного способа взаимодействия.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен ЭС с использованием отчуждаемых машинных носителей информации при невозможности осуществлять обмен ЭС по каналам связи.

Клиенты должны информировать Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России в случае перехода на обмен документами на бумажном носителе при невозможности осуществлять обмен ЭС по каналам связи и на отчуждаемых машинных носителях информации.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена с Банком России размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

2.4. В случае выявления инцидента Клиент вправе направить в Банк России обращение о приостановлении обмена ЭС в порядке, указанном в приложении 3 к настоящим Условиям.

2.5. Выполнение требований к защите информации подтверждается документами Клиента, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Клиента подписываются руководителем Клиента либо уполномоченным лицом и представляются по запросу Банка России(2) при проведении проверки выполнения требований к защите информации.

Клиент предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте готовности, в том числе в подразделении Клиента.

Клиент обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Клиент обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный Банком в акте проверки, с досылкой акта проверки на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ЭС Клиент представляет в электронном виде акт о готовности к обмену ЭС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой акта о готовности к обмену ЭС с Банком России на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Клиент обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета (для Клиентов, указанных в пункте 2.1) в порядке, установленном Банком России на основании статьи 731 Федерального закона от 10 июля 2002 года N 86-ФЗ "О Центральном банке Российской Федерации (Банке России)", статьи 351 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (далее - личный кабинет).

2.6. Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации, указанных в пунктах 2.3.1 - 2.3.8 настоящих Условий.

2.7. Клиент должен обеспечить получение подтверждения от косвенного участника с доступом к ТПСБП о выполнении требований к защите информации, указанных в пункте 2.2 настоящих Условий.

2.8. Косвенные участники Клиента до начала обмена ЭС сообщают Клиенту о готовности к обмену ЭС с Банком России.

Клиент обеспечивает контроль выполнения косвенными участниками Клиента требований к защите информации и информирует Банк России о готовности косвенного участника к обмену ЭС с Банком России с использованием федеральной почтовой связи или личного кабинета.

2.9. Клиент должен обеспечить получение Клиентом от косвенного участника Клиента информации о нарушениях требований к обеспечению защиты информации при обмене ЭС, в том числе которые привели или могут привести к осуществлению переводов денежных средств без согласия клиента или к неоказанию услуг по переводу денежных средств.

При поступлении указанной информации от косвенных участников Клиента Клиент должен информировать Банк России в соответствии с требованиями подпункта 2.3.9 пункта 2.3 настоящих Условий.

Глава 3. Меры по защите информации при оказании услуг по передаче финансовых сообщений с использованием СПФС

3.1. Пользователь в части требований по защите информации при обмене ФС с использованием СПФС обеспечивает выполнение следующих требований.

3.1.1. Пользователи должны размещать объекты информационной инфраструктуры, используемые при обмене ФС, в выделенных (отдельных) сегментах (группах сегментов) вычислительных сетей.

Для объектов информационной инфраструктуры в пределах выделенного сегмента (группы сегментов) вычислительных сетей Пользователи должны применять меры защиты информации, реализующие следующие уровни защиты информации, определенные национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Федерального агентства по техническому регулированию и метрологии от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта Российской Федерации" (М., ФГУП "Стандартинформ", 2017) (далее - ГОСТ Р 57580.1-2017).

Пользователи, являющиеся системно значимыми кредитными организациями, кредитными организациями, выполняющими функции оператора услуг платежной инфраструктуры системно значимых платежных систем, кредитными организациями, являющимися значимыми на рынке платежных услуг, должны реализовывать усиленный уровень (уровень 1) защиты информации.

Пользователи, являющиеся кредитными организациями, не относящимися к кредитным организациям, указанным в абзаце третьем настоящего подпункта, должны реализовывать стандартный уровень (уровень 2) защиты информации.

Пользователи, являющиеся кредитными организациями, которые должны реализовывать стандартный уровень защиты информации, ставшие кредитными организациями, которые должны реализовывать усиленный уровень защиты информации, должны обеспечить реализацию усиленного уровня защиты информации не позднее восемнадцати месяцев после того, как стали кредитными организациями, указанными в абзаце третьем настоящего подпункта.

Пользователи, не являющиеся кредитными организациями, должны реализовывать минимальный уровень (уровень 3) защиты информации.

3.1.2. Документы Пользователей, определяющие порядок обеспечения защиты информации при обмене ФС (далее - документы), должны определять состав и порядок применения организационных мер защиты информации и состав, и порядок использования технических средств защиты информации.

обеспечение защиты информации при управлении доступом;

обеспечение защиты вычислительных сетей;

контроль целостности и защищенности информационной инфраструктуры;

защита от вредоносного кода;

предотвращение утечек информации;

управление инцидентами;

защита среды виртуализации;

Документы должны содержать информацию, определяющую:

технологии подготовки, обработки, передачи и хранения ФС и защищаемой информации на объектах информационной инфраструктуры;

состав и правила применения технологических мер защиты информации, используемых для контроля целостности и подтверждения подлинности ФС на этапах их формирования (подготовки), обработки, передачи и хранения, в том числе порядок применения средств СКЗИ и управления ключевой информацией СКЗИ;

план действий, направленных на обеспечение непрерывности и (или) восстановление деятельности, связанной с обменом ФС;

лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС;

уполномоченных лиц.

3.1.3. Защита информации Пользователями с помощью СКЗИ при обмене ФС должна обеспечиваться в соответствии с требованиями, указанными в приложении 5 к настоящим Условиям.

3.1.4. Передача и прием ФС Пользователя осуществляются с использованием автоматизированного рабочего места клиента Банка России - пользователя СПФС.

Автоматизированное рабочее место обмена ФС должно быть реализовано с помощью программного обеспечения, предоставляемого Банком России, - программного комплекса "Автоматизированное рабочее место клиента Банка России - пользователя системы передачи финансовых сообщений".

3.1.5. Пользователи должны обеспечивать защиту ФС при их передаче в Банк России применением первого варианта защиты, предусмотренного Альбомом ЭС.

3.1.6. Пользователи должны обеспечивать хранение входящих и исходящих ФС, подписанных электронной подписью, не менее пяти лет.

3.1.7. При обмене ФС между Пользователем и Банком России должна применяться электронная подпись, сертификат ключа проверки которой выдан Банком России.

Банк России и Пользователь признают, что:

внесение изменений в ФС после формирования электронной подписи дает отрицательный результат проверки подлинности электронной подписи;

3.1.8. Криптографические ключи, используемые при обмене ФС между Клиентом и Банком России, должны изготавливаться Клиентом в соответствии с Условиями управления криптографическими ключами, указанными в приложении 2 к настоящим Условиям.

3.2. В случае реализации подписания ФС в информационной инфраструктуре (автоматизированной системе) Пользователя Пользователи должны обеспечивать защиту ФС при их передаче в Банк России посредством формирования ФС и контроля реквизитов ФС в информационной инфраструктуре с учетом следующего:

3.2.1. Контур формирования ФС и контур контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть реализованы с использованием разных рабочих мест и с привлечением отдельных работников для каждого из контуров.

3.2.2. Объекты информационной инфраструктуры контура формирования ФС и контура контроля реквизитов ФС в информационной инфраструктуре Пользователя должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально.

3.2.3. В контуре формирования ФС на основе первичного документа в бумажной или электронной форме, или входящего ФС должны осуществляться:

формирование исходящего ФС, предназначенного для направления в СПФС;

контроль реквизитов исходящего ФС, предназначенного для направления в СПФС;

подписание исходящего ФС, предназначенного для направления в СПФС, электронной подписью, применяемой в контуре формирования ФС, при положительном результате контроля реквизитов;

направление исходящего ФС, предназначенного для направления в СПФС Банка России, в контур контроля реквизитов ФС.

3.2.4. В контуре контроля реквизитов ФС должны осуществляться:

контроль реквизитов исходящего ФС на соответствие реквизитам первичного документа в бумажной или электронной форме, или входящего ФС;

контроль на отсутствие дублирования исходящих ФС;

передача исходящего ФС, при положительном результате контроля реквизитов, на автоматизированное рабочее место обмена ФС с СПФС с последующим шифрованием ФС на прикладном уровне в соответствии с эталонной моделью взаимосвязи открытых систем, определенной в ГОСТ Р ИСО/МЭК 7498-1-99, с использованием СКЗИ, прошедших процедуру оценки соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

3.3. Пользователи должны информировать Банк России о нарушениях требований к обеспечению защиты информации при обмене ФС.

При возобновлении возможности направления информации об инцидентах с использованием технической инфраструктуры (автоматизированной системы) Банка России Пользователь должен повторно направить информацию с использованием технической инфраструктуры (автоматизированной системы) Банка России.

3.4. В случае выявления Пользователем несоблюдения им требований к защите информации приостановление оказания услуг по передаче ФС Пользователю осуществляется путем приостановления обмена через СПФС на основании заявления Пользователя о приостановлении оказания услуг по передаче ФС, содержащего сведения о несоблюдении Пользователем требований к защите информации, направленного в порядке, указанном в приложении 3 к настоящим Условиям.

3.5. Выполнение требований к защите информации при обмене ФС подтверждается документами Пользователя, в том числе содержащими информацию о проведении контроля за выполнением указанных требований, а также о датах проведения и результатах контроля. Документы Пользователя подписываются руководителем Пользователя либо уполномоченным лицом и представляются по запросу Банка России3 при проведении проверки выполнения требований к защите информации.

Пользователь предоставляет возможность Банку России проводить проверки выполнения требований к защите информации, указанных в акте о готовности, в том числе в подразделении Пользователя.

Пользователь обязан устранять нарушения требований к защите информации, выявленные при проверке, в сроки, установленные в акте проверки Банка России.

Пользователь обязан оформлять результаты устранения нарушений требований актом об устранении в письменном виде, направлять данный акт не позднее третьего рабочего дня после срока, установленного Банком России для устранения выявленных нарушений, на адрес электронной почты, указанный в акте поверки, с досылкой акта об устранении нарушений на бумажном носителе не позднее рабочего дня, следующего за днем его направления по электронной почте.

До начала обмена ФС Пользователь представляет в электронном виде акт о готовности к обмену ФС с Банком России, форма которого приведена в приложении 1 к настоящим Условиям, с досылкой сообщения на бумажном носителе не позднее рабочего дня, следующего за днем его представления в электронном виде.

В случае внесения каких-либо изменений, в том числе в состав ответственных лиц, указанных в приложениях к акту о готовности, Пользователь обязан представить в Банк России актуальную информацию не позднее следующего рабочего дня после внесения изменений с использованием федеральной почтовой связи или личного кабинета.

Приложение 1
к Условиям защиты информации

УТВЕРЖДАЮ

____________________________________

(личная подпись, Ф.И.О. руководителя

(лица, его замещающего) или

должностного лица, заключившего

Договор от имени Клиента

(Пользователя)

____________________________________

(наименование Клиента (Пользователя)

"___" __________________ г.

Акт

о готовности Клиента _________ (указывается наименование Клиента

(Пользователя)) к обмену ЭС (ФС) с Банком России(4)

от "____" ____________ г.

Настоящий акт составлен по результатам проверки готовности к обмену

ЭС (ФС) с использованием _________________________

_________________________________________________________________________

_____________________________________________________________________(5).

Комиссия(6) ______________________________ (указывается наименование

Клиента (Пользователя), созданная на основании ________________

(указывается наименование, дата и номер распорядительного документа

Клиента (Пользователя), в составе:

Руководитель Комиссии

Члены Комиссии: ________________________________________

(наименование должности, инициалы,

фамилия)

________________________________________

(наименование должности, инициалы,

фамилия)

________________________________________

(наименование должности, инициалы,

фамилия)

________________________________________

(наименование должности, инициалы,

фамилия)

провела проверку готовности к обмену ЭС (ФС) с Банком России.

Комиссия установила следующее:

1. Выполняются следующие меры в части защиты информации, указанные в

Условиях по защите информации(7):

_________________________________________________________________________

________________________________________________________________________.

2. Планируемые сроки реализации мер в части защиты информации,

указанных в пунктах 2.2.1, 2.2.2, 3.1.1 и 3.1.2 Условий по защите

информации:

_________________________________________________________________________

(указываются конкретные меры в части защиты информации и планируемые

сроки их реализации).

3. Выполняются следующие меры в части защиты информации:

+-----------------------------------------------------------------------+

¦N п/п¦Меры в части защиты информации ¦ Перечень документов и описаний, ¦

¦ ¦ ¦ отражающих реализацию правил ¦

¦ ¦ ¦ материально-технического ¦

¦ ¦ ¦ обеспечения формирования ¦

¦ ¦ ¦электронных сообщений и контроля ¦

¦ ¦ ¦реквизитов электронных сообщений,¦

¦ ¦ ¦ для участника сервиса срочного ¦

¦ ¦ ¦ перевода и сервиса несрочного ¦

¦ ¦ ¦ перевода (далее - ССНП) ¦

+-----+-------------------------------+---------------------------------¦

¦3.1. ¦Контур формирования электронных¦Участник ССНП направляет всю¦

¦ ¦сообщений и контур контроля¦необходимую информацию(8),¦

¦ ¦реквизитов электронных¦подтверждающую выполнение¦

¦ ¦сообщений в информационной¦указанных мер в части защиты¦

¦ ¦инфраструктуре участника ССНП¦информации, в соответствии с¦

¦ ¦должны быть реализованы с¦приложением 6 к Акту, в том¦

¦ ¦использованием разных рабочих¦числе: ¦

¦ ¦мест, разных криптографических¦ ¦

¦ ¦ключей и с привлечением¦- название владельца и¦

¦ ¦отдельных работников для¦идентификаторы ключей ЭП с¦

¦ ¦каждого из контуров. ¦указанием их принадлежности к¦

¦ ¦ ¦контуру формирования или контуру¦

¦ ¦ ¦контроля; ¦

¦ ¦ ¦- сведения об АРМ, на которых¦

¦ ¦ ¦осуществляется обработка¦

¦ ¦ ¦защищаемой информации: сетевое¦

¦ ¦ ¦имя, IP-адрес (при наличии -¦

¦ ¦ ¦выделенный пул IP-адресов),¦

¦ ¦ ¦MAC-адрес, соответствующий¦

¦ ¦ ¦указанному IP-адресу,¦

¦ ¦ ¦принадлежность к контуру¦

¦ ¦ ¦формирования или контуру¦

¦ ¦ ¦контроля; ¦

¦ ¦ ¦- реквизиты¦

¦ ¦ ¦организационно-распорядительных ¦

¦ ¦ ¦документов участника о назначении¦

¦ ¦ ¦операторов АРМ контура¦

¦ ¦ ¦формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений;¦

¦ ¦ ¦- реквизиты¦

¦ ¦ ¦организационно-распорядительных ¦

¦ ¦ ¦документов участника о назначении¦

¦ ¦ ¦администраторов АРМ контура¦

¦ ¦ ¦формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений;¦

¦ ¦ ¦- реквизиты¦

¦ ¦ ¦организационно-распорядительных ¦

¦ ¦ ¦документов участника о назначении¦

¦ ¦ ¦администраторов информационной¦

¦ ¦ ¦безопасности АРМ контура¦

¦ ¦ ¦формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений.¦

+-----+-------------------------------+---------------------------------¦

¦3.2. ¦Объекты информационной¦Участник ССНП направляет всю¦

¦ ¦инфраструктуры контура¦необходимую информацию(9),¦

¦ ¦формирования электронных¦подтверждающую выполнение¦

¦ ¦сообщений и контура контроля¦указанных в Условиях по защите¦

¦ ¦реквизитов электронных¦информации мер в части защиты¦

¦ ¦сообщений в информационной¦информации, в том числе: ¦

¦ ¦инфраструктуре участника ССНП¦ ¦

¦ ¦должны быть размещены в разных¦- описание способа¦

¦ ¦сегментах вычислительных сетей,¦информационного взаимодействия¦

¦ ¦в том числе реализованных с¦между объектами информационной¦

¦ ¦использованием технологии¦инфраструктуры (сегментами¦

¦ ¦виртуализации. Способ¦вычислительных сетей) контура¦

¦ ¦допустимого информационного¦формирования электронных¦

¦ ¦взаимодействия между указанными¦сообщений и контура контроля¦

¦ ¦сегментами вычислительных сетей¦реквизитов электронных сообщений¦

¦ ¦оформляется документально и¦(автоматизированная система учета¦

¦ ¦согласовывается со службой¦операций, АРМ контура контроля и¦

¦ ¦информационной безопасности¦формирования, АРМ обмена с Банком¦

¦ ¦участников ССНП. ¦России, иное); ¦

¦ ¦ ¦- реквизиты оформленного,¦

¦ ¦ ¦согласованного со службой¦

¦ ¦ ¦информационной безопасности и¦

¦ ¦ ¦утвержденного руководством¦

¦ ¦ ¦участника документа, описывающего¦

¦ ¦ ¦способ и порядок допустимого¦

¦ ¦ ¦информационного взаимодействия¦

¦ ¦ ¦между сегментами вычислительных¦

¦ ¦ ¦сетей, содержащими объекты¦

¦ ¦ ¦информационной инфраструктуры¦

¦ ¦ ¦контура формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений;¦

¦ ¦ ¦- схему информационного¦

¦ ¦ ¦взаимодействия на прикладном¦

¦ ¦ ¦уровне между объектами¦

¦ ¦ ¦информационной инфраструктуры,¦

¦ ¦ ¦предназначенными для¦

¦ ¦ ¦формирования, контроля и отправки¦

¦ ¦ ¦платежных сообщений по¦

¦ ¦ ¦технологическим каналам в Банк¦

¦ ¦ ¦России; ¦

¦ ¦ ¦- логическую схему сети с¦

¦ ¦ ¦разделением на VLAN и указанием¦

¦ ¦ ¦диапазона IP-адресов, а также¦

¦ ¦ ¦телекоммуникационного ¦

¦ ¦ ¦оборудования, используемого для¦

¦ ¦ ¦сегментации сети в части¦

¦ ¦ ¦размещения объектов¦

¦ ¦ ¦информационной инфраструктуры¦

¦ ¦ ¦контура формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений¦

¦ ¦ ¦в информационной инфраструктуре¦

¦ ¦ ¦участника; ¦

¦ ¦ ¦- сведения об оборудовании,¦

¦ ¦ ¦используемом для сегментации сети¦

¦ ¦ ¦в целях размещения объектов¦

¦ ¦ ¦информационной инфраструктуры¦

¦ ¦ ¦контура формирования электронных¦

¦ ¦ ¦сообщений и контура контроля¦

¦ ¦ ¦реквизитов электронных сообщений¦

¦ ¦ ¦в информационной инфраструктуре¦

¦ ¦ ¦участника (тип, производитель,¦

¦ ¦ ¦модель, серийный номер,¦

¦ ¦ ¦инвентарный номер); ¦

¦ ¦ ¦- сведения об оборудовании,¦

¦ ¦ ¦используемом для фильтрации¦

¦ ¦ ¦сетевого трафика (тип,¦

¦ ¦ ¦производитель, модель/версия,¦

¦ ¦ ¦серийный номер, инвентарный¦

¦ ¦ ¦номер); ¦

¦ ¦ ¦- реквизиты оформленного,¦

¦ ¦ ¦согласованного со службой¦

¦ ¦ ¦информационной безопасности и¦

¦ ¦ ¦утвержденного документа,¦

¦ ¦ ¦описывающего установленные¦

¦ ¦ ¦правила фильтрации сетевого¦

¦ ¦ ¦трафика (списки контроля доступа)¦

¦ ¦ ¦между контуром формирования¦

¦ ¦ ¦электронных сообщений и контуром¦

¦ ¦ ¦контроля реквизитов электронных¦

¦ ¦ ¦сообщений с указанием разрешенных¦

¦ ¦ ¦протоколов сетевого,¦

¦ ¦ ¦транспортного и прикладного¦

¦ ¦ ¦уровней, а также между указанными¦

¦ ¦ ¦контурами и иными сегментами¦

¦ ¦ ¦локальной вычислительной сети, в¦

¦ ¦ ¦том числе явно определяющие¦

¦ ¦ ¦способы и правила взаимодействия¦

¦ ¦ ¦с внешними сетями (описание¦

¦ ¦ ¦данных взаимодействий должно¦

¦ ¦ ¦содержать обоснование их¦

¦ ¦ ¦необходимости). ¦

+-----+-------------------------------+---------------------------------¦

¦3.3. ¦В контуре формирования¦Участник ССНП направляет всю¦

¦ ¦электронных сообщений на основе¦необходимую информацию(10),¦

¦ ¦первичного документа в бумажной¦подтверждающую выполнение¦

¦ ¦или электронной форме или¦указанных мер в части защиты¦

¦ ¦входящего электронного¦информации, в том числе: ¦

¦ ¦сообщения должны¦ ¦

¦ ¦осуществляться: ¦- реквизиты документа,¦

¦ ¦формирование исходящего¦согласованного со службой¦

¦ ¦электронного сообщения,¦информационной безопасности,¦

¦ ¦предназначенного для¦описывающего информационное¦

¦ ¦направления в платежную систему¦взаимодействие и технологический¦

¦ ¦Банка России; ¦процесс, в том числе реализацию¦

¦ ¦контроль реквизитов исходящего¦указанных процедур и мер в части¦

¦ ¦электронного сообщения,¦защиты информации; ¦

¦ ¦предназначенного для¦- технологическую схему и¦

¦ ¦направления в платежную систему¦описание технологического¦

¦ ¦Банка России; ¦процесса формирования электронных¦

¦ ¦подписание исходящего¦сообщений на основе первичного¦

¦ ¦электронного сообщения,¦документа, контроля первичного¦

¦ ¦предназначенного для¦документа и отправки по¦

¦ ¦направления в платежную систему¦технологическим каналам в Банк¦

¦ ¦Банка России, электронной¦России на каждом этапе, в том¦

¦ ¦подписью, применяемой в контуре¦числе: ¦

¦ ¦формирования электронных¦описание этапа формирования¦

¦ ¦сообщений, при положительном¦исходящего электронного¦

¦ ¦результате контроля реквизитов,¦сообщения, ¦

¦ ¦указанного в абзаце третьем¦описание этапа контроля¦

¦ ¦настоящего подпункта; ¦реквизитов исходящего¦

¦ ¦направление исходящего¦электронного сообщения в контуре¦

¦ ¦электронного сообщения,¦формирования с указанием основных¦

¦ ¦предназначенного для¦контролируемых полей и способов¦

¦ ¦направления в платежную систему¦контроля, ¦

¦ ¦Банка России, в контур контроля¦описание этапа подписания¦

¦ ¦реквизитов электронных¦исходящего электронного сообщения¦

¦ ¦сообщений. ¦в контуре формирования с¦

+-----+-------------------------------¦описанием механизма разграничения¦

¦3.4. ¦В контуре контроля реквизитов¦доступа при выполнении операций, ¦

¦ ¦электронных сообщений должны¦описание этапа направления¦

¦ ¦осуществляться: ¦исходящего электронного сообщения¦

¦ ¦контроль реквизитов исходящего¦в контур контроля реквизитов¦

¦ ¦электронного сообщения,¦электронных сообщений, ¦

¦ ¦предназначенного для¦описание этапа контроля¦

¦ ¦направления в платежную систему¦реквизитов исходящего¦

¦ ¦Банка России, на соответствие¦электронного сообщения в контуре¦

¦ ¦реквизитам первичного документа¦контроля с указанием основных¦

¦ ¦в бумажной или электронной¦контролируемых полей и способа¦

¦ ¦форме или входящего¦контроля, ¦

¦ ¦электронного сообщения; ¦указание источника эталонной¦

¦ ¦контроль на отсутствие¦информации для сравнения и¦

¦ ¦дублирования исходящих¦способа взаимодействия, ¦

¦ ¦электронных сообщений; ¦описание этапа контроля на¦

¦ ¦ ¦отсутствие дублирования исходящих¦

¦ ¦подписание исходящего¦электронных сообщений с указанием¦

¦ ¦электронного сообщения,¦основных контролируемых полей и¦

¦ ¦предназначенного для¦способа контроля, ¦

¦ ¦направления в платежную систему¦описание этапа подписания¦

¦ ¦Банка России, электронной¦исходящего электронного¦

¦ ¦подписью, применяемой в контуре¦сообщения, предназначенного для¦

¦ ¦контроля реквизитов электронных¦направления в платежную систему¦

¦ ¦сообщений, при положительном¦Банка России, электронной¦

¦ ¦результате контроля реквизитов,¦подписью, применяемой в контуре¦

¦ ¦указанного в абзаце втором¦контроля реквизитов электронных¦

¦ ¦настоящего подпункта. ¦сообщений, с описанием механизма¦

¦ ¦ ¦разграничения доступа при¦

¦ ¦ ¦выполнении операций, ¦

¦ ¦ ¦описание процедуры (порядок,¦

¦ ¦ ¦ответственные) шифрования¦

¦ ¦ ¦исходящего электронного¦

¦ ¦ ¦сообщения, ¦

¦ ¦ ¦описание процедуры (порядок,¦

¦ ¦ ¦ответственные) установления¦

¦ ¦ ¦защищенного соединения с ТШ КБР¦

¦ ¦ ¦(vpn) и отправки готовых¦

¦ ¦ ¦(подписанных и зашифрованных)¦

¦ ¦ ¦электронных сообщений. ¦

+-----------------------------------------------------------------------+

4. АРМ обмена эксплуатируется ____________________________________

(указываются полное наименование, адрес подразделения Клиента

(Пользователя), номера телефонов, фамилии, имена, отчества (при наличии)

руководителей подразделения Клиента (Пользователя), ответственных за

эксплуатацию АРМ обмена, выполнение требований к защите информации).

5. СКЗИ эксплуатируется ___________________________________

(указываются полное наименование, адрес подразделения Клиента

(Пользователя), номера телефонов, фамилии, имена, отчества (при наличии)

ответственных за эксплуатацию СКЗИ, выполнение требований к защите

информации).

6. АС Клиента (Пользователя) эксплуатируется ______________________

(указываются полное наименование, адрес подразделения Клиента

(Пользователя), номера телефонов, фамилии, имена, отчества (при наличии)

ответственных за эксплуатацию АС, выполнение требований к защите

информации).

7. Информация о лицах, уполномоченных на направление в Банк России и

подписание обращений о приостановлении (возобновлении) обмена ЭС (ФС) при

переводе денежных средств в рамках платежной системы Банка России (при

оказании услуг по передаче ФС через СПФС) в случае несоблюдения

участником обмена требований к защите информации

_______________________________________________ (указывается информация в

соответствии с пунктом 4 приложения 3 Условий по защите информации).

Заключение

Комиссия считает, что _____________________________ (указывается

наименование Клиента (Пользователя) готов к осуществлению обмена ЭС (ФС)

_______________________________ (указывается "при переводе денежных

средств в рамках платежной системы Банка России" и (или) "через СПФС"

соответственно) с использованием ___________________________________(11).

Руководитель Комиссии

Члены Комиссии: -------------------- -----------------

(инициалы, (подпись, дата)

фамилия)

-------------------- -----------------

(инициалы, (подпись, дата)

фамилия)

-------------------- -----------------

(инициалы, (подпись, дата)

фамилия)

-------------------- -----------------

(инициалы, (подпись, дата)

фамилия)

Приложения:

1. Акт о готовности АРМ обмена к обмену ЭС(12) (составляется в

произвольной форме, акт утверждается руководителем Клиента, Пользователя

(лицом, его замещающим) или должностным лицом, заключившим Договор от

имени Клиента (Пользователя).

2. Уведомление о назначении администратора АРМ обмена (составляется

в произвольной форме с указанием фамилии, инициалов, должности

администратора АРМ обмена, номера и даты приказа о назначении, номера

телефона, уведомление подписывается руководителем Клиента, Пользователя

(лицом, его замещающим) или должностным лицом, заключившим Договор от

имени Клиента (Пользователя).

3. Уведомление о назначении АИБ (составляется в произвольной форме с

указанием фамилии, инициалов, должности АИБ, номера и даты документа о

назначении, номера телефона, уведомление подписывается руководителем

Клиента, Пользователя (лицом, его замещающим) или должностным лицом,

заключившим Договор от имени Клиента (Пользователя).

4. Уведомление о назначении лиц, допущенных к работе с СКЗИ, -

пользователей криптографических ключей, АИБ, АКС, уполномоченных лиц(13)

(составляется в произвольной форме с указанием фамилии, инициалов,

должности пользователя (должностей пользователей), номера и даты

документа о назначении, номеров телефонов, для уполномоченных лиц -

образцов их подписей, перечня филиалов (в том числе централизованных), от

имени которых работает данный пользователь (данные пользователи),

уведомление подписывается руководителем Клиента, Пользователя (лицом, его

замещающим) или должностным лицом, заключившим Договор от имени Клиента

(Пользователя).

5. Документы, отражающие (поясняющие) реализацию правил

материально-технического обеспечения формирования электронных сообщений и

контроля реквизитов электронных сообщений для участника ССНП, в том числе

описание информационного взаимодействия и технологического процесса, а

также иные документы, указанные в пункте 3 приложения 1 к Условиям защиты

информации (в соответствии с приложением к Положению Банка России от 23

декабря 2020 года N 747-П "О требованиях к защите информации в платежной

системе Банка России").

6. Сведения об информационной инфраструктуре, предназначенной для

формирования, контроля и направления ЭС в ПС БР (по форме приложения к

настоящему приложению).

7. Распорядительный документ Клиента (Пользователя) о проведении

проверки готовности к обмену ЭС (ФС) с Банком России.

Приложение
к Приложению 1
к Условиям защиты информации

Сведения
об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР

	Доменное имя	IP-адрес, VLAN	MAC-адрес	Установленное ПО
АРМ обмена
АРМ контура формирования
АРМ контура контроля

Технологический участок	Роль	ФИО (основной/ замещающий)	Идентификатор ключа электронной подписи	Реквизиты документа о назначении
АРМ обмена	Оператор АРМ
	Администратор АРМ
	Администратор ИБ
Контур формирования	Оператор АРМ
	Администратор АРМ
	Администратор ИБ
Контур контроля	Оператор АРМ
	Администратор АРМ
	Администратор ИБ

Приложение 2
к Условиям защиты информации

Условия
управления криптографическими ключами

1. Условия управления криптографическими ключами (далее - Условия) выполняются Клиентом (косвенным участником Клиента, Пользователем) при управлении ключами электронной подписи и ключами шифрования, применяемыми при обмене ЭС при переводе денежных средств в рамках платежной системы Банка России или при обмене ФС.

2. Клиент (косвенный участник Клиента, Пользователь) может иметь несколько криптографических ключей, а также при необходимости резервные криптографические ключи.

3. Криптографические ключи Клиент (косвенный участник Клиента, Пользователь) изготавливает самостоятельно на учтенных ключевых носителях с использованием средств, входящих в комплект поставки СКЗИ.

Допускается генерация Клиентом (косвенным участником Клиента, Пользователем) криптографических ключей в регистрационном центре, для чего Банк России предоставляет Клиенту (косвенному участнику Клиента, Пользователю) рабочее место для генерации криптографических ключей, оборудованное СКЗИ (при этом согласие Клиента (косвенного участника Клиента, Пользователя) на изготовление криптографических ключей на технических средствах Банка России должно быть документально зафиксировано и оформляться при каждом изготовлении криптографических ключей).

Для самостоятельного изготовления криптографических ключей Клиент (косвенный участник Клиента, Пользователь) получает в регистрационном центре ключ (ключи) регистрации.

4. Взаимодействие Банка России с Клиентом (Пользователем) в части управления ключами осуществляется АКС Банка России.

Клиент (Пользователь) не позднее одного месяца до срока окончания действия криптографического ключа должен инициировать проведение его плановой смены, в случае необходимости инициировать проведение внеплановой смены криптографического ключа. Криптографические ключи с истекшим сроком действия не используются. Взаимодействие с Банком России по вопросам управления ключами со стороны Клиента (Пользователя) осуществляется АКС Клиента. Для обеспечения бесперебойной работы по управлению криптографическими ключами рекомендуется назначать не менее двух АКС Клиента (Пользователя).

5. Клиент обеспечивает сохранность своих криптографических ключей и обеспечение косвенным участником Клиента сохранности его криптографических ключей.

Пользователь обеспечивает сохранность своих криптографических ключей.

6. Организационно-техническая информация, необходимая для взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя), доводится в Регламенте взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя) при управлении криптографическими ключами (далее - Регламент), предоставляемом Клиенту (косвенному участнику Клиента, Пользователю) подразделением Банка России, в лице которого Банк России заключил Договор.

Клиент (Пользователь) обязуется соблюдать положения, приведенные в Регламенте. Клиент включает в договор с косвенным участником Клиента условие о выполнении косвенным участником Клиента Регламента.

7. Регламент содержит следующее.

7.1. Порядок получения ключей регистрации.

7.2. Порядок изготовления и сертификации криптографических ключей.

7.3. Порядок изготовления регистрационной карточки сертификата ключа на бумажном носителе.

7.4. Порядок плановой и внеплановой смены криптографических ключей.

7.5. Порядок действий в случае компрометации криптографических ключей.

7.6. Порядок действий с криптографическими ключами в случае доступа (подозрении на доступ) к ним неуполномоченных лиц, а также в случае прекращения полномочий работников по доступу к указанным ключам.

7.7. Порядок уничтожения криптографических ключей.

7.8. Порядок взаимодействия АКС Клиента (Пользователя) и АКС Банка России по вопросам управления ключевой системой.

7.9. Наименование регистрационного центра.

8. Особенности управления криптографическими ключами косвенного участника Клиента.

Клиенту при формировании договора, заключаемого между Клиентом и косвенным участником Клиента, в части управления криптографическими ключами косвенного участника Клиента следует руководствоваться настоящими Условиями, в том числе следующим.

8.1. Клиент доводит до косвенного участника Клиента настоящие Условия и Регламент.

8.2. Косвенный участник Клиента назначает АКС и доводит эту информацию до Клиента.

8.3. Клиент передает информацию об АКС косвенного участника Клиента в регистрационный центр для возможности получения АКС косвенного участника Клиента в регистрационном центре ключей регистрации.

8.4. АКС косвенного участника Клиента самостоятельно получает ключи регистрации в регистрационном центре.

8.5. Генерация криптографических ключей косвенного участника Клиента осуществляется либо самостоятельно АКС косвенного участника Клиента на технических средствах косвенного участника Клиента, технических средствах Клиента, технических средствах Банка России, либо АКС Клиента на технических средствах Клиента в присутствии АКС косвенного участника Клиента. Доступ к криптографическим ключам косвенного участника Клиента со стороны АКС Клиента должен быть исключен.

8.6. Дальнейшее взаимодействие по управлению криптографическими ключами косвенного участника Клиента осуществляется между АКС косвенного участника Клиента и АКС Клиента с последующим взаимодействием АКС Клиента с АКС Банка России и производится в соответствии с Регламентом.

9. Регистрационная карточка сертификата ключа изготавливается в двух экземплярах и содержит:

наименование владельца ключа электронной подписи;

наименование применяемого СКЗИ;

информацию, идентифицирующую ключ электронной подписи (идентификатор и (или) номер ключа электронной подписи, идентификатор и (или) номер серии);

информацию о назначении ключа электронной подписи (область применения);

распечатку ключа проверки электронной подписи в шестнадцатеричной системе счисления;

даты начала и окончания действия ключа электронной подписи;

даты начала и окончания действия ключа проверки электронной подписи;

фамилию и инициалы, должность и подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от его имени регистрационных карточек сертификатов ключей, заверенные оттиском печати владельца ключа электронной подписи (при ее наличии);

фамилию и инициалы, подпись АКС Банка России.

Регистрационная карточка сертификата ключа косвенного участника Клиента дополнительно заверяется собственноручной подписью руководителя (лица, его замещающего, или уполномоченного лица) Клиента, а также печатью Клиента (при ее наличии).

Регистрационная карточка сертификата ключа может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна содержать подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от имени Клиента (Пользователя) регистрационных карточек сертификатов ключей Клиента (Пользователя), заверенную оттиском печати владельца ключа электронной подписи (при ее наличии).

Один экземпляр регистрационной карточки сертификата ключа на бумажном носителе хранится в регистрационном центре, другой - у владельца ключа. Ключ электронной подписи считается зарегистрированным со дня передачи в регистрационный центр надлежащим образом заверенного экземпляра регистрационной карточки сертификата ключа на бумажном носителе.

Порядок ввода в действие ключей электронной подписи и ключей шифрования определяются Регламентом.

10. При компрометации или подозрении на компрометацию криптографического ключа использование скомпрометированного ключа должно быть прекращено. Пользователь ключа в соответствии с внутренним регламентом обязан немедленно проинформировать о факте компрометации/подозрении на компрометацию АКС, АИБ и Руководителя Клиента (Пользователя). В случае принятия Клиентом (Пользователем) решения о компрометации криптографического ключа Клиент (Пользователь) должен уведомить регистрационный центр о необходимости отзыва сертификата скомпрометированного ключа и проведении его внеплановой смены.

По факту компрометации криптографического ключа владелец ключа организовывает служебное расследование, результаты которого оформляются актом. Клиент (Пользователь) обязан направить письмо с приложенным экземпляром указанного акта Клиента (Пользователя) или косвенного участника Клиента в регистрационный центр не позднее трех рабочих дней со дня окончания расследования.

11. В случае увольнения или прекращения полномочий работника по доступу к криптографическому ключу заблаговременно, в сроки, установленные Регламентом, должна быть проведена замена криптографического ключа, к которому указанный работник имел единоличный доступ.

12. Уничтожение криптографических ключей на ключевых носителях проводится комиссией, состоящей из представителей Клиента (Пользователя), с составлением акта (для косвенного участника Клиента в комиссию включаются также представители косвенного участника Клиента).

Приложение 3
к Условиям защиты информации

Порядок
направления обращений о приостановлении (возобновлении) обмена ЭС или заявлений о приостановлении (возобновлении) обмена ФС в случае выявления инцидента, связанного с несоблюдением Клиентом (Пользователем) требований к защите информации

1. В случае выявления инцидента, связанного с несоблюдением требований к защите информации, Клиент (Пользователь) вправе направить в Банк России обращение о приостановлении обмена ЭС в платежной системе Банка России или заявление о приостановлении оказания услуг по передаче ФС через СПФС.

По результатам устранения причин инцидента Клиент (Пользователь) должен направлять обращение о возобновлении обмена ЭС (заявление о возобновлении оказания услуг по передаче ФС через СПФС), при получении которого Банк России снимает ранее введенное ограничение для возобновления обмена ЭС (оказания услуг по передаче ФС через СПФС) с Клиентом (Пользователем).

2. Обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) в случае выявления инцидента, связанного с несоблюдением требований к защите информации, и обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС) (далее при совместном упоминании - обращения (заявления) должны направляться с использованием технической инфраструктуры (автоматизированной системы) Банка России.

В случае технической невозможности направления обращения (заявления) с использованием технической инфраструктуры (автоматизированной системы) Банка России обращение (заявление) должно направляться с использованием резервного способа взаимодействия.

При возобновлении возможности направления обращений (заявлений) с использованием технической инфраструктуры (автоматизированной системы) Банка России Клиент должен повторно направить обращение (заявление) с использованием технической инфраструктуры (автоматизированной системы) Банка России.

3. Информация о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия Клиента (Пользователя) с Банком России, с помощью которого направляются обращения (заявления), размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

4. В целях направления обращений (заявлений) Клиент (Пользователь) должен обеспечить назначение должностных лиц, уполномоченных на направление и (или) подписание обращений (заявлений), и направление в Банк России письма, содержащего информацию об уполномоченных лицах, не позднее следующего дня после дня их назначения или изменения.

Указанное письмо составляется по форме, размещенной на сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/, и направляется в Банк России (Департамент информационной безопасности) не позднее рабочего дня, следующего за днем их назначения или изменения, с использованием федеральной почтовой связи или личного кабинета (для Клиентов, являющихся кредитными организациями).

5. Одновременно с направлением обращений (заявлений) Клиент (Пользователь) должен направить копию обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) или обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (Пользователя) (при ее наличии), по факсимильной связи либо по электронной почте в соответствии с контактными данными, размещенными на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

Не позднее одного рабочего дня после дня направления обращения (заявления) Клиент (Пользователь) должен направить оригинал обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) или о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), оформленного в письменном виде, подписанного уполномоченным лицом и заверенного печатью Клиента (Пользователя) (при ее наличии), в Банк России с использованием федеральной почтовой связи или личного кабинета (для Клиентов, являющихся кредитными организациями).

6. Формы обращения о приостановлении обмена ЭС (заявления о приостановлении оказания услуг по передаче ФС через СПФС) и обращения о возобновлении обмена ЭС (заявления о возобновлении оказания услуг по передаче ФС через СПФС), направляемых в письменном виде, а также с использованием технической инфраструктуры (автоматизированной системы) Банка России или с использованием резервного способа, размещены на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" по адресу https://cbr.ru/information_security/fincert/.

Приложение 4
к Условиям защиты информации

Урегулирование споров и разногласий при обмене ЭС

1. Споры и разногласия при обмене ЭС, возникающие вследствие неисполнения или ненадлежащего исполнения Клиентом или Банком России обязательств по Договору, неотъемлемой частью которого являются настоящие Условия, или в связи с ним, разрешаются путем переговоров, создания согласительной комиссии, а в случае невозможности разрешения существующих разногласий рассматриваются в судебном порядке в соответствии с законодательством Российской Федерации.

2. Для урегулирования разногласий при обмене ЭС, установления фактических обстоятельств, послуживших основанием для их возникновения, а также для проверки подлинности и контроля целостности ЭС Банком России совместно с Клиентом создается согласительная комиссия (далее - комиссия).

3. При возникновении разногласий в связи с обменом ЭС при переводе денежных средств в рамках платежной системы Банка России заявляющая разногласие Сторона (Клиент либо Банк России) (далее - Сторона-инициатор) направляет другой Стороне (Клиенту либо Банку России) заявление о разногласиях, подписанное уполномоченным должностным лицом, с изложением причин разногласий и предложением создать комиссию.

В заявлении указываются:

наименование Стороны-инициатора;

тип и описание претензии;

фамилии, инициалы и занимаемые должности представителей Стороны-инициатора, которые будут участвовать в работе комиссии;

место, время и дату сбора комиссии (не позднее семи рабочих дней со дня отправления заявления).

До подачи заявления Сторона-инициатор обязана убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии нарушения целостности информационной инфраструктуры и несанкционированных действий со стороны персонала, обслуживающего АРМ обмена.

4. В состав комиссии включается равное количество представителей каждой Стороны, но не более пяти человек, включая представителей службы безопасности и юридической службы (при их наличии).

Члены комиссии от каждой Стороны назначаются приказом либо иным распорядительным актом соответствующей Стороны.

В случае необходимости привлечения независимых специалистов, не представляющих какую-либо из Сторон и имеющих официально подтвержденную квалификацию, данные специалисты включаются в состав комиссии по письменному соглашению Сторон сверх квоты представителей Сторон, определяемой в соответствии с абзацем первым настоящего пункта.

Порядок оплаты работы независимых специалистов в комиссии определяется по соглашению Сторон.

5. Комиссия создается на срок до 10 рабочих дней. В случае необходимости срок работы комиссии по согласованию Сторон может быть продлен до 30 рабочих дней.

6. Стороны обязуются оказывать содействие в работе комиссии и не допускать отказа от представления необходимых документов, за исключением случаев, предусмотренных законодательством Российской Федерации.

7. Стороны обязуются предоставить комиссии возможность ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для обмена ЭС (АРМ обмена).

8. Клиент обязуется предоставлять членам комиссии доступ в помещение, где размещается АРМ обмена, для проведения проверок соблюдения Клиентом настоящих Условий.

9. Работа комиссии проходит в два этапа.

9.1. Первый этап - подготовительный.

9.1.1. Комиссия устанавливает ПО СКЗИ, предоставленное Банком России, на СВТ с системным ПО, удовлетворяющим требованиям эксплуатационной документации на СКЗИ. Установленное ПО СКЗИ принимается для работы Комиссии.

9.1.2. По запросу Комиссии ей передаются: необходимые сертификаты ключей Банка России и сертификат Клиента с соответствующими регистрационными карточками, справочник сертификатов ключей с АРМ обмена Клиента, актуальный на момент обработки оспариваемого ЭС, и другие материалы.

Комиссия сравнивает сертификаты ключа Банка и Клиента с соответствующими регистрационными карточками. При положительном результате сравнения сертификаты ключей используются в работе комиссии.

9.2. Второй этап - проверка и анализ спорных ЭС.

9.2.1. Комиссией рассматриваются разногласия следующих типов:

Сторона-отправитель утверждает, что не направляла ЭС, а Сторона-получатель утверждает, что ЭС было получено;

Сторона-получатель утверждает, что не получала ЭС, а Сторона-отправитель утверждает, что ЭС было направлено.

9.2.2. Разрешение разногласий первого типа осуществляется в следующем порядке.

Сторона-получатель представляет ЭС, оспариваемое Стороной-отправителем.

Комиссия осуществляет проверку электронной подписи Стороны-отправителя с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС комиссия подтверждает факт направления Стороной-отправителем ЭС Стороне-получателю.

Если Сторона-отправитель настаивает на том, что данное ЭС она не отправляла, комиссия может дополнительно сделать вывод о возможной компрометации ключа электронной подписи Стороны-отправителя.

На основе отрицательного результата проверки электронной подписи Стороны-отправителя по оспариваемому ЭС комиссия подтверждает факт, что Сторона-отправитель не направляла ЭС Стороне-получателю.

9.2.3. Разрешение разногласий второго типа осуществляется в следующем порядке.

Сторона-отправитель представляет ЭС, полученное от Стороны-получателя, о результатах проверки электронной подписи в ЭС Стороны-отправителя (независимо от того, с каким результатом (положительным или отрицательным) завершена проверка), что свидетельствует о получении ЭС Стороной-получателем.

Комиссия осуществляет проверку электронной подписи в ЭС, предоставленном Стороной-отправителем, с помощью принятого комиссией к использованию ПО СКЗИ.

На основе положительного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, комиссия подтверждает факт того, что Сторона-получатель получила ЭС.

На основе отрицательного результата проверки электронной подписи в ЭС, представленном Стороной-отправителем, или в случае непредставления ЭС Стороной-отправителем комиссия подтверждает факт того, что Сторона-получатель не получала ЭС.

Комиссия не принимает к рассмотрению претензии по ЭС, для которых Альбомом ЭС не предусмотрено получение подтверждения о получении ЭС от Стороны-получателя, снабженного электронной подписью Стороны-получателя.

10. По итогам работы комиссии составляется акт, содержащий:

описание фактических обстоятельств, послуживших основанием для возникновения разногласий;

описание работ, проведенных членами комиссии;

вывод по результатам работы комиссии по оспариваемому ЭС, в том числе о причинах возникновения инцидента, и его обоснование;

рекомендации по предотвращению возникновения инцидентов.

Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта для принятия итогового согласованного решения. Члены комиссии, не согласные с мнением большинства, вправе изложить особое мнение, которое прикладывается к акту.

11. Если в течение двух рабочих дней на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен или был получен отказ от участия в работе комиссии, или другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 10 настоящего порядка. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.

12. Акт комиссии является основанием для принятия Сторонами окончательного решения, которое должно быть подписано Сторонами не позднее 10 (десяти) рабочих дней после дня окончания работы комиссии.

Приложение 5
к Условиям защиты информации

Требования
к использованию СКЗИ

1. Защита информации Клиентами (косвенными участниками Клиента, Пользователями) с помощью СКЗИ должна обеспечиваться в соответствии с Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом Федеральной службы безопасности Российской Федерации от 9 февраля 2005 года N 66 "Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)", зарегистрированным Министерством юстиции Российской Федерации 3 марта 2005 года N 6382, 25 мая 2010 года N 17350, и технической документацией на СКЗИ.

2. Для подписания электронных сообщений и обеспечения шифрования на прикладном уровне используются следующие СКЗИ: программный комплекс "Сигнатура-Клиент", система криптографической защиты информации автоматизированных систем Банка России "Янтарь", система криптографической авторизации электронных документов "Сигнатура-L".

3. Установка и настройка СКЗИ на АРМ обмена выполняются Клиентами (косвенными участниками Клиента, Пользователем) с учетом требований, изложенных в эксплуатационной документации на СКЗИ. При каждом запуске АРМ обмена должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

4. Определяется порядок учета, хранения и использования ключевых носителей (ключевых идентификаторов Touch Memory, ключевых Smart-карточек и других носителей ключевой информации), который должен полностью исключать возможность неконтролируемого доступа к ним.

5. Полномочия лиц, имеющих доступ к криптографическим ключам, должны быть определены распорядительным документом, подписанным руководителем (лицом, его замещающим) Клиента (косвенного участника Клиента, Пользователя) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).

6. Для хранения ключевых носителей с криптографическими ключами должны использоваться надежные металлические шкафы (сейфы). Хранение ключевых носителей допускается в одном металлическом шкафу (сейфе) с другими документами в отдельной упаковке, исключающей неконтролируемый доступ к ключевым носителям.

7. В течение рабочего дня вне времени составления, передачи и приема ЭС или ФС, а также по окончании рабочего дня носители ключевой информации с криптографическими ключами помещаются в металлические шкафы (сейфы).

8. Не допускается:

снимать несанкционированные копии с носителей ключевой информации, оставлять ключевые носители без присмотра, в том числе в считывателе АРМ обмена;

знакомить с содержанием носителей ключевой информации лиц, к ней не допущенных, а также передавать им носители ключевой информации;

выводить криптографические ключи на устройство отображения (дисплей, монитор) электронно-вычислительной машины (ЭВМ) или устройство печати (принтер);

устанавливать носители с криптографическими ключами в считывающее устройство АРМ обмена, программные средства которого функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

записывать на носители ключевой информации постороннюю информацию.

Приложение 6
к Условиям защиты информации

Требования
к формированию электронных сообщений и контролю реквизитов электронных сообщений

1. Формирование электронных сообщений и контроль реквизитов электронных сообщений в информационной инфраструктуре Клиента должны осуществляться с учетом следующего.

1.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре Клиента должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров(14).

1.2. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре Клиента должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности Клиентов.

1.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме, или входящего электронного сообщения должны осуществляться:

формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;

направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.

1.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:

контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме, или входящего электронного сообщения;

контроль на отсутствие дублирования исходящих электронных сообщений;

подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

------------------------------

(1) Абзац 6 подпункта 2.3.8 пункта 2.3 настоящих Условий вступает в силу с 1 июля 2021 года, для клиентов полевых учреждений Банка России, которые не подключены к транспортному шлюзу клиента Банка России, вступает в силу с 01 января 2025 года.

(2) Способ представления информации указывается в запросе Банка России.

(3) Способ предоставления информации указывается в запросе Банка России.

(4) По данной форме представляется акт о готовности к обмену ЭС с Банком России при переводе денежных средств в рамках платежной системы Банка России, а также акт о готовности к обмену через СПФС.

(5) Указывается наименование используемых АРМ обмена, СКЗИ.

(6) Комиссия назначается соответствующим распорядительным документом Клиента (Пользователя), подписанным руководителем (лицом, его замещающим).

(7) За исключением мер, срок действия которых не наступил.

(8) Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

(9) Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

(10) Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).

(11) Указывается наименование программных комплексов, используемых для АРМ обмена, наименование СКЗИ.

(12) Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, установленных на АРМ обмена, значения хеш-сумм переданного Банком России программного комплекса, используемых для АРМ обмена, а также значение хеш-суммы самой программы вычисления хеш-сумм.

(13) Клиент (Пользователь) обязан информировать в письменном виде Банк России о назначении и изменении состава лиц, указанных в пунктах 2-4 к заключению Акта приложения 1 к Условиям по защите информации, не позднее дня назначения или изменения.

(14) Для Клиентов, счета которых обслуживаются в полевом учреждении Банка России, не являющихся кредитными организациями и территориальными органами Федерального казначейства, не имеющих технической возможности выполнить требования подпункта 1.1 пункта 1 Приложения 6 к настоящим Условиям, по согласованию с Банком России, указанный подпункт вступает в силу с 01 января 2025 года.

Обзор документа

Установлены требования по защите информации:

- при переводах денежных средств в платежной системе Банка России;

- при оказании услуг по передаче финансовых сообщений.

Приведена форма акта о готовности клиента (пользователя) к обмену электронными (финансовыми) сообщениями с Банком России. Определены условия управления криптографическими ключами, порядок направления обращений и заявлений о приостановлении (возобновлении) обмена сообщениями в случае выявления инцидента, связанного с несоблюдением клиентом (пользователем) требований к защите информации. Закреплена процедура урегулирования споров и разногласий при обмене электронными сообщениями. Прописаны требования к использованию средств криптографической защиты информации, к формированию электронных сообщений и контролю их реквизитов.

Для просмотра актуального текста документа и получения полной информации о вступлении в силу, изменениях и порядке применения документа, воспользуйтесь поиском в Интернет-версии системы ГАРАНТ:

Перепечатка

Условия по защите информации (утв. Банком России 13 мая 2022 г.) (применяются с 13 июля 2022 г.)

Глава 1. Общие положения

Глава 2. Меры по защите информации при осуществлении переводов денежных средств в платежной системе Банка России

Глава 3. Меры по защите информации при оказании услуг по передаче финансовых сообщений с использованием СПФС

Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР

Условия управления криптографическими ключами

Урегулирование споров и разногласий при обмене ЭС

Требования к использованию СКЗИ

Требования к формированию электронных сообщений и контролю реквизитов электронных сообщений

Обзор документа

Сведения
об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР

Условия
управления криптографическими ключами

Требования
к использованию СКЗИ

Требования
к формированию электронных сообщений и контролю реквизитов электронных сообщений