1. На основании Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872; 2012, № 53, ст. 7592; 2013, № 27, ст. 3477; № 30, ст. 4084; № 52, ст. 6968; 2014, № 19, ст. 2315, ст. 2317; № 43 ст. 5803; 2015, № 1, ст. 8, ст. 14; 2016, № 27, ст. 4221, ст. 4223, 2017, № 15, ст. 2134, № 18, ст. 2665) и решения Совета директоров Банка России (протокол заседания Совета директоров Банка России от _______________ № ____) внести в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств», зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года № 24573, 24 июля 2013 года № 29142, следующие изменения.

1.1. Пункт 3 изложить в следующей редакции:

«3. Отчетность по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» предоставляется:

операторами услуг платежной инфраструктуры - ежеквартально, не позднее пятнадцатого рабочего дня месяца, следующего за отчетным кварталом;

операторами по переводу денежных средств (операторами по переводу электронных денежных средств), в том числе являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца превышает 2 миллиарда рублей,– ежеквартально, не позднее пятнадцатого рабочего дня месяца, следующего за отчетным кварталом;

операторами по переводу денежных средств (операторами по переводу электронных денежных средств), в том числе являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца не превышает 2 миллиарда рублей, – раз в полгода, не позднее пятнадцатого рабочего дня месяца, следующего за отчетным периодом;

операторами услуг платежной инфраструктуры, операторами по переводу денежных средств по требованию Банка России – не позднее пятнадцати рабочих дней со дня получения письменного требования Банка России.».

1.2. Пункт 5 изложить в следующей редакции:

«5. Форма и методика составления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» приведены в приложении 2 к настоящему Указанию.

1.3. Приложение 2 изложить в редакции приложения к настоящему Указанию.

2. Настоящее Указание подлежит официальному опубликованию и вступает в силу с 1 января 2018 года.

Председатель Центрального банка Российской Федерации

Приложение
к Указанию Банка России
от «  » июня 2017 года №     -У
«О внесении изменений в Указание Банка России
от 9 июня 2012 года № 2831-У
«Об отчетности по обеспечению защиты информации
при осуществлении переводов денежных средств
операторов платежных систем, операторов услуг
платежной инфраструктуры, операторов по
переводу денежных средств»

«Приложение 2
к Указанию Банка России
от 9 июня 2012 года № 2831-У
«Об отчетности по обеспечению защиты информации
при осуществлении переводов денежных средств
операторов платежных систем, операторов услуг
платежной инфраструктуры, операторов по
переводу денежных средств»

	Код территории по ОКАТО	Код оператора услуг платежной инфраструктуры, оператора по переводу денежных средств (оператора электронных денежных средств)
		по ОКПО	регистрационный номер

Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств
по состоянию на «__» ___________ ____ г.

Наименование ________________________________________________________

Почтовый адрес ______________________________________________________

Код формы по ОКУД 0403203
Квартальная (Полугодовая)

Раздел 1. Общие сведения

Номер строки	Вид сведений	Содержание
1	2	3
1	Субъект национальной платежной системы
2	Предоставление услуг платежной инфраструктуры

Раздел 2. Сведения оператора по переводу денежных средств о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств

Подраздел 2.1. Сведения оператора по переводу денежных средств о получении им уведомлений от клиентов об использовании электронных средств платежа без их согласия

Номер строки	Тип электронного средства платежа, использованного без согласия клиента	Общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов на основании распоряжений, составленных с использованием электронного средства платежа, руб.	Количество событий, связанных с получением уведомлений от клиентов, единиц		Сумма денежных средств, в отношении которой получены уведомления от клиентов, руб.	Сумма денежных средств, возмещенная (возвращенная) клиентам, руб.	Сумма операционных расходов оператора по переводу денежных средств, в результате использования электронных средств платежа без согласия клиентов, руб.
			Всего	из них, с использованием методов социальной инжинирии
1	2	3	4	5	6	7	8
1	Платежные карты (за исключением предоплаченных платежных карт) при использовании непосредственно в банкоматах, электронных терминалах, импринтерах	X					X
2	Реквизиты платежных карт без непосредственного использования материального носителя платежной карты (за исключением предоплаченных платежных карт) при оплате товаров и услуг с использованием сети Интернет (CNP-транзакция)	X					X
3	Системы (средства) дистанционного банковского обслуживания физических лиц, за исключением операций с использованием реквизитов платежных карт	X					X
4	Системы (средства) дистанционного банковского обслуживания юридических лиц, индивидуальных предпринимателей и лиц, занимающихся частной практикой, в том числе системы (средства), используемые для переводов денежных средств по корреспондентским счетам юридических лиц	X					X
5	Итого по подразделу 2.1

Подраздел 2.2. Сведения оператора по переводу денежных средств о переводах и снятии денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры

	Последствия осуществления несанкционированного доступа	Количество событий, связанных с несанкционированным доступом, единиц	Сумма списанных (снятых) денежных средств, руб.	Сумма операционных расходов оператора по переводу денежных средств, в результате списаний (снятий) денежных средств, руб.
1	2	3	4	5
Осуществление перевода денежных средств оператора по переводу денежных средств или его клиентов без их согласия в результате:
1	несанкционированного доступа работников оператора по переводу денежных средств или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внутреннего нарушителя), к автоматизированным банковским системам (информации о банковских счетах)			X
2	реализации компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внешнего нарушителя), к автоматизированным банковским системам (информации о банковских счетах)			X
3	несанкционированного доступа работников оператора по переводу денежных средств или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внутреннего нарушителя), к программно-аппаратному обеспечению банкоматов, электронных терминалов			X
4	реализации компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внешнего нарушителя), к программно-аппаратному обеспечению банкоматов, электронных терминалов			X
5	Итого			X
Осуществление несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах в результате:
6	несанкционированного доступа работников оператора по переводу денежных средств или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внутреннего нарушителя), к программно-аппаратному обеспечению банкоматов			X
7	реализации компьютерных атак или несанкционированного доступа лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действия внешнего нарушителя) к программно-аппаратному обеспечению банкоматов			X
8	Итого			X
9	Итого по подразделу 2.2

Подраздел 2.3. Сведения кредитной организации, признанной Банком России значимой на рынке платежных услуг, о неоказании им услуг по переводу денежных средств

	Причина неоказания услуг по переводу денежных средств	Количество событий, связанных с неоказанием услуг по переводу денежных средств, единиц	Регион неоказания услуг по переводу денежных средств
1	2	3	4
Неоказание услуг по переводу денежных средств на период более двух часов в целом по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств, с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания в результате:
1	реализации компьютерных атак работниками оператора по переводу денежных средств или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действий внутреннего нарушителя)		Х
2	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действий внешнего нарушителя)		Х
3	Итого		Х
Неоказание услуг по переводу денежных средств на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств, с использованием платежных карт, их реквизитов и (или) систем (средств) дистанционного банковского обслуживания в результате:
4	реализации компьютерных атак работниками оператора по переводу денежных средств или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действий внутреннего нарушителя)
5	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры оператора по переводу денежных средств (действий внешнего нарушителя)
6	Итого		Х
7	Итого по подразделу 2.3		Х

Раздел 3. Сведения оператора электронных денежных средств о событиях, связанных с нарушением защиты информации при осуществлении переводов электронных денежных средств

Подраздел 3.1. Сведения оператора электронных денежных средств о получении им уведомлений от клиентов об использовании электронных средств платежа без их согласия

	Тип электронного средства платежа, использованного без согласия клиента	Количество событий, связанных с получением уведомлений клиентов, единиц		Сумма электронных денежных средств, в отношении которых получены уведомления клиентов, руб.	Сумма электронных денежных средств, возмещенная (возвращенная) клиентам, руб.	Сумма операционных расходов оператора электронных денежных средств, в результате использования электронных средств платежа без согласия клиентов, руб.
		Всего	из них, с использованием методов социальной инжинирии
1	2	3	4	5	6	7
Неперсонифицированные электронные средства платежа:
1	предоплаченные карты при использовании непосредственно в банкоматах, электронных терминалах					X
2	реквизиты предоплаченных карт без непосредственного использования материального носителя платежной карты при оплате товаров и услуг с использованием сети Интернет (CNP-транзакция)					X
3	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) использованные в банкоматах, электронных терминалах для доступа к остатку электронных денежных средств					X
4	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) использованные в системах (средствах) дистанционного доступа к остаткам электронных денежных средств					X
5	Итого					X
Персонифицированные электронные средства платежа:
6	предоплаченные карты при использовании непосредственно в банкоматах, электронных терминалах					X
7	реквизиты предоплаченных карт без непосредственного использования материального носителя платежной карты при оплате товаров и услуг с использованием сети Интернет (CNP-транзакция)					X
8	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) использованные в банкоматах, электронных терминалах для доступа к остатку электронных денежных средств					X
9	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) использованные в системах (средствах) дистанционного доступа к остаткам электронных денежных средств					X
10	Итого					X
11	Передача оператором связи распоряжения клиентов - физических лиц					X
12	Итого					X
Корпоративные электронные средства платежа клиентов - юридических лиц:
13	предоплаченные карты при использовании непосредственно в банкоматах, электронных терминалах					X
14	реквизиты предоплаченных карт без непосредственного использования материального носителя платежной карты при оплате товаров и услуг с использованием сети Интернет (CNP-транзакция)					X
15	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) в банкоматах, электронных терминалах для доступа к остатку электронных денежных средств					X
16	«электронные кошельки» - электронные средства платежа (за исключением предоплаченных платежных карт) использованные в системах (средствах) дистанционного доступа к остаткам электронных денежных средств					X
17	Итого					X
18	Итого по подразделу 3.1

Подраздел 3.2. Сведения оператора электронных денежных средств об уменьшении остатка электронных денежных средств в результате несанкционированного доступа к объектам его информационной инфраструктуры

Номер строки	Тип несанкционированного доступа к объектам информационной инфраструктуры	Количество событий, связанных с несанкционированным доступом, единиц	Сумма уменьшения остатка электронных денежных средств, руб.	Сумма операционных расходов оператора электронных денежных средств в результате уменьшения остатка электронных денежных средств, руб.
1	2	3	4	5
1	Несанкционированный доступ работников оператора электронных денежных средств или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры оператора электронных денежных средств (действия внутреннего нарушителя), к информации об остатке электронных денежных средств			X
2	Реализация компьютерных атак или несанкционированный доступ лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры оператора электронных денежных средств (действия внешнего нарушителя), к информации об остатке электронных денежных средств			X
3	Итого по подразделу 3.2

Раздел 4. Сведения оператора услуг платежной инфраструктуры о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств

Подраздел 4.1. Сведения расчетного центра платежной системы о получении им уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы

Номер строки	Причина осуществления списаний денежных средств с корреспондентских счетов участников платежной системы	Регистрационный номер оператора платежной системы	Регистрационный номер кредитной организации	Сумма денежных средств, в отношении которой получено уведомление (оспаривание) участников платежной системы, руб.	Сумма денежных средств, возмещенная участникам платежной системы, руб.
1	2	3	4	5	6
1	Исполнение распоряжений платежных клиринговых центров и участников платежной системы
2	Несанкционированный доступ работников расчетного центра или иных лиц, обладающих полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действия внутреннего нарушителя), к информации о корреспондентских счетах участников платежной системы
3	Реализация компьютерных атак или несанкционированный доступ лиц, не обладающих полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действия внешнего нарушителя), к информации о корреспондентских счетах участников платежной системы
4	Итого по подразделу 4.1

Подраздел 4.2. Сведения расчетного центра значимой платежной системы о неоказании им расчетных услуг

Номер строки	Причины неоказания расчетных услуг	Количество событий, связанных с неоказанием расчетных услуг, единиц
1	2	3
Неоказание расчетных услуг на период более одного операционного дня в результате:
1	реализации компьютерных атак работниками расчетного центра или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действий внутреннего нарушителя)
2	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действий внешнего нарушителя)
3	Итого
Невыполнение в течение операционного дня расчетов для принятых к исполнению распоряжений платежного клирингового центра или участников платежной системы в результате:
4	реализации компьютерных атак работниками расчетного центра или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действий внутреннего нарушителя)
5	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры расчетного центра (действий внешнего нарушителя)
6	Итого
7	Итого по подразделу 4.2

Подраздел 4.3. Сведения платежного клирингового центра значимой платежной системы о неоказании им услуг платежного клиринга

Номер строки	Причины неоказания услуг платежного клиринга	Количество событий, связанных с неоказанием услуг платежного клиринга, единиц
1	2	3
Прерывание оказания услуг платежного клиринга на период более одного операционного дня в результате:
1	реализации компьютерных атак работниками платежного клирингового центра или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры платежного клирингового центра (действий внутреннего нарушителя)
2	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры платежного клирингового центра (действий внешнего нарушителя)
3	Итого
Невыполнение в течение операционного дня платежного клиринга для принятых к исполнению распоряжений участников платежной системы в результате:
4	реализации компьютерных атак работниками платежного клирингового центра или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры платежного клирингового центра (действий внутреннего нарушителя)
5	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры платежного клирингового центра (действий внешнего нарушителя)
6	Итого
7	Итого по подразделу 4.3

Подраздел 4.4. Сведения операционного центра значимой платежной системы о неоказании им операционных услуг

Номер строки	Причины неоказания операционных услуг	Количество событий, связанных с неоказанием операционных услуг, единиц
1	2	3
Прерывание операционных услуг на период более двух часов в результате:
1	реализации компьютерных атак работниками операционного центра или иными лицами, обладающими полномочиями доступа к объектам информационной инфраструктуры операционного центра (действий внутреннего нарушителя)
2	реализации компьютерных атак лицами, не обладающими полномочиями доступа к объектам информационной инфраструктуры операционного центра (действий внешнего нарушителя)
3	Итого по подразделу 4.4

Руководитель  __________________________ ________________ ___________________

              (заместитель руководителя) (личная подпись) (инициалы, фамилия)

Исполнитель      ________________ ___________________

                 (личная подпись) (инициалы, фамилия)

Номер телефона:

Методика
составления отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств»

1. Отчетность по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» (далее для целей настоящей Методики - Отчет) содержит обобщенные сведения за отчетный период о:

получении оператором по переводу денежных средств уведомлений от клиентов в соответствии с частью 11 статьи 9 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (далее - Федеральный закон № 161-ФЗ) об использовании электронных средств платежа без их согласия (далее - уведомления от клиентов);

переводах и снятии денежных средств в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств;

неоказании услуг по переводу денежных средств, предоставляемых - кредитной организацией, признанной Банком России значимой на рынке платежных услуг;

получении оператором электронных денежных средств уведомлений от клиента об использовании электронного средства платежа без его согласия;

уменьшении остатка электронных денежных средств в результате несанкционированного доступа к объектам информационной инфраструктуры оператора электронных денежных средств;

получении расчетным центром уведомлений от участников платежной системы о списаниях денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;

неоказании услуг по переводу денежных средств расчетным центром, платежным клиринговым центром, операционным центром значимой платежной системы.

2. Оператор по переводу денежных средств, в том числе оператор электронных денежных средств включает в Отчет сведения:

выявленные в отчетном периоде самостоятельно;

предоставленные в отчетном периоде их клиентами;

предоставленные в отчетном периоде привлеченными банковскими платежными агентами (субагентами).

Оператор услуг платежной инфраструктуры включает в Отчет сведения, выявленные в отчетном периоде самостоятельно.

Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств предоставляются оператором по переводу денежных средств, в том числе оператором электронных денежных средств, оператором услуг платежной инфраструктуры (далее - отчитывающийся оператор) в отчетном периоде, в котором собраны (получены) сведения, достаточные для заполнения отчета.

3. В Отчет, предоставляемый отчитывающимся оператором, по письменному требованию Банка России, включаются сведения, выявленные отчитывающимся оператором или предоставленные ему за период, указанный в письменном требовании Банка России.

4. В заголовочной части Отчета указываются:

в графе «Код территории по ОКАТО» - код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);

в графе «по ОКПО» - код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);

в графе «регистрационный номер» - регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;

в строке «Наименование» указывается наименование отчитывающегося оператора; в случае если отчитывающийся оператор является кредитной организацией, в строке «Наименование» указывается полное фирменное наименование кредитной организации; в случае если отчитывающийся оператор не является кредитной организацией, в строке «Наименование» указывается наименование отчитывающегося оператора в соответствии с реестром операторов платежных систем, который размещается на официальном сайте Банка России в информационно-телекоммуникационной сети «Интернет» (www.cbr.ru) (далее для целей настоящей Методики - реестр операторов платежных систем);

в строке «Почтовый адрес» - адрес фактического места нахождения отчитывающегося оператора.

5. В разделе 1 Отчета указываются сведения о том, каким субъектом национальной платежной системы в соответствии с Федеральным законом № 161-ФЗ является отчитывающийся оператор.

5.1. В графе 3 строки 1 без пробелов, через запятую указываются коды «ОПДС», «ОЭДС», «ОЦ», «КЦ» и (или) «РЦ», соответствующие тому, каким субъектом национальной платежной системы в соответствии с Федеральным законом № 161-ФЗ является отчитывающийся оператор.

Код «ОПДС» указывается, если отчитывающийся оператор является оператором по переводу денежных средств.

Код «ОЭДС» указывается, если отчитывающий оператор является оператором электронных денежных средств.

Код «ОЦ» указывается, если отчитывающийся оператор является операционным центром.

Код «КЦ» указывается, если отчитывающийся оператор является платежным клиринговым центром.

Код «РЦ» указывается, если отчитывающийся оператор является расчетным центром.

5.2. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в графе 3 строки 2 указываются без пробелов, через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.

6. В подразделе 2.1 раздела 2 Отчета оператором по переводу денежных средств указываются обобщенные сведения за отчетный период о событиях, связанных с получением оператором по переводу денежных средств уведомлений от клиентов при использовании электронных средств платежа различных типов.

В подраздел 2.1 не включаются сведения о получении уведомлений от клиентов при переводе электронных денежных средств.

6.1. В составе систем (средств) дистанционного банковского обслуживания физических лиц, указанных в графе 2 строки 3, рассматриваются:

средства подвижной радиотелефонной связи клиентов, используемые для дистанционного банковского обслуживания путем отправки SMS-сообщений (средства SMS-банкинга);

средства подвижной радиотелефонной связи клиентов и размещенное на них программное обеспечение, предоставляемое клиенту оператором по переводу денежных средств (системы мобильного банкинга, реализующие технологию «толстого клиента»);

средства подвижной радиотелефонной связи клиентов и размещенные на них интернет-браузеры (системы мобильного банкинга, реализующие технологию «тонкого клиента»);

средства вычислительной техники клиентов, не являющиеся средством подвижной радиотелефонной связи, и размещенное на них программное обеспечение, предоставляемое клиенту оператором по переводу денежных средств (системы, реализующие технологию «толстого клиента»);

средства вычислительной техники клиентов, не являющиеся средством подвижной радиотелефонной связи, и размещенные на них интернет-браузеры (системы, реализующие технологию «тонкого клиента»).

В составе систем (средств) дистанционного банковского обслуживания юридических лиц, индивидуальных предпринимателей и лиц, занимающихся частной практикой, указанных в графе 2 строки 4, рассматриваются:

системы, в том числе системы мобильного банкинга, реализующие технологию «тонкого клиента» или «толстого клиента»;

автоматизированные системы и средства вычислительной техники клиентов, используемые для направления оператору по переводу денежных средств электронных сообщений (системы, реализующие технологию «платежного шлюза»).

6.2. В графе 3 строки 5 указывается общая сумма денежных средств, переведенных (списанных) с банковских счетов клиентов при использовании всех типов электронных средства платежа.

6.3. В графе 4 указывается общее количество событий, связанных с получением уведомлений клиентов при использовании соответствующих типов электронных средства платежа.

6.4. В графе 5 указывается количество событий (из общего количества событий, указанных в графе 4), связанных с получением уведомлений клиентов об использовании электронных средств платежа без их согласия в результате их побуждения к совершению операции путем обмана или злоупотребления доверием (далее - методы социальной инжинирии) при использовании соответствующих типов электронных средства платежа.

6.5. В графе 6 указывается сумма денежных средств, в отношении которой получены уведомления клиентов при использовании соответствующих типов электронных средства платежа.

6.6. В графе 7 указывается сумма денежных средств, возмещенная (возвращенная) клиентам, в результате использования электронного средства платежа без их согласия, для соответствующих типов электронных средства платежа.

6.7. В графе 8 строки 5 указывается сумма операционных расходов оператора по переводу денежных средств, в результате использования электронных средства платежа без согласия клиентов, для всех типов электронных средств платежа, включая операционные расходы, связанные:

с возмещением ущерба, понесенного клиентами оператора по переводу денежных средств;

с оспариванием клиентами оператора по переводу денежных средств операций по переводу денежных средств.

7. В подразделе 2.2 раздела 2 Отчета оператором по переводу денежных средств указываются обобщенные сведения за отчетный период о переводах и снятии денежных средств в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе:

обобщенные сведения об осуществлении перевода денежных средств оператора по переводу денежных средств или его клиентов без их согласия в результате осуществления несанкционированного доступа различных типов;

обобщенные сведения об осуществлении несанкционированного снятия денежных средств оператора по переводу денежных средств в банкоматах в результате осуществления несанкционированного доступа различных типов.

В подразделе 2.2 раздела 2 Отчета не указываются сведения, связанные с получением уведомлений от клиентов оператора по переводу денежных средств, указываемые в подразделе 2.1 раздела 2 Отчета.

7.1. В графе 3 указывается количество событий, связанных с осуществлением несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, для соответствующих типов несанкционированного доступа.

7.2. В графе 4 указывается сумма списанных (снятых) денежных средств оператора по переводу денежных средств или его клиентов в результате осуществления несанкционированного доступа к объектам его информационной инфраструктуры, для соответствующих типов несанкционированного доступа.

7.3. В графах 3 и 4 строк 2, 4 и 7, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

7.4. В графах 3 и 4 строки 9 указывается сумма данных строк 5 и 8.

7.5. В графе 5 строки 9 указывается сумма операционных расходов оператора по переводу денежных средств в результате осуществления несанкционированного доступа к объектам его информационной инфраструктуры, для всех типов несанкционированного доступа, приведенных в строках 1-4, 6 и 7, включая операционные расходы, связанные:

с возмещением ущерба, понесенного клиентами оператора по переводу денежных средств;

с оспариванием клиентами оператора по переводу денежных средств операций по переводу денежных средств;

с переводами и снятием денежных средств оператора по переводу денежных средств.

8. В подразделе 2.3 раздела 2 Отчета оператором по переводу денежных средств, признанным Банком России значимым на рынке платежных услуг, указываются обобщенные сведения за отчетный период о событиях, связанных с неоказанием услуг по переводу денежных средств, в том числе:

сведения о событиях, связанных с неоказанием услуг по переводу денежных средств на период более двух часов по всем субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств, с использованием платежных карт, их реквизитов, систем (средств) дистанционного банковского обслуживания;

сведения о событиях, связанных с неоказанием услуг по переводу денежных средств на период более двух часов в целом по отдельным субъектам Российской Федерации, в которых оператор по переводу денежных средств осуществляет перевод денежных средств, с использованием платежных карт, их реквизитов, систем (средств) дистанционного банковского обслуживания.

В подразделе 2.3 раздела 2 Отчета указываются сведения о реализации компьютерных атак, направленных на объекты информационной инфраструктуры отчитывающегося оператора или на объекты информационной инфраструктуры иных организаций - провайдеров информационных услуг и (или) услуг связи.

8.1. В графе 3 указывается количество событий, связанных с неоказанием услуг по переводу денежных средств по соответствующим причинам.

8.2. В графе 3 строк 2 и 5, графе 4 строки 5, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

8.3. В графе 3 строки 7 указывается сумма данных строк 3 и 6.

8.4. В графе 4 строк 4 и 5 без пробелов, через запятую указываются коды субъектов Российской Федерации, в которых было выявлено неоказание услуг по переводу денежных средств, по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 2 символов).

9. В подразделе 3.1 раздела 3 Отчета оператором электронных денежных средств указываются обобщенные сведения за отчетный период о событиях, связанных с получением оператором электронных денежных средств уведомлений от клиентов при использовании электронных средств платежа различных типов, в том числе:

сведения об использовании без согласия клиентов неперсонифицированных электронных средств платежа различных типов;

сведения об использовании без согласия клиентов персонифицированных электронных средств платежа различных типов;

сведения о передаче операторами связи распоряжений клиентов - физических лиц без их согласия;

сведения об использовании без согласия клиентов - юридических лиц, индивидуальных предпринимателей и лиц, занимающихся частной практикой корпоративных электронных средств платежа различных типов.

9.1. В графе 3 указывается количество событий, связанных с получением уведомлений клиентов при использовании без их согласия соответствующих типов электронных средств платежа.

9.2. В графе 4 указывается количество событий (из общего количества событий, указанных в графе 3), связанных с получением уведомлений клиентов об использовании электронных средств платежа без их согласия в результате применения к ним методов социальной инжинирии при использовании соответствующих типов электронных средств платежа.

9.3. В графе 5 указывается сумма электронных денежных средств, в отношении которой получены уведомления клиента об использовании электронного средства платежа без его согласия при использовании соответствующих типов электронных средства платежа.

9.4. В графе 6 указывается сумма электронных денежных средств, возмещенная (возвращенная) клиентам, в результате использования электронного средства платежа без их согласия для соответствующих типов электронных средств платежа.

9.5. В графах 3-6 строки 18 указывается сумма данных строк 5, 10, 12 и 17.

9.6. В графе 7 строки 18 указывается сумма операционных расходов оператора электронных денежных средств, в результате уменьшения остатка электронных денежных средств клиентов без их согласия при использовании всех типов электронных средств платежа, строк 1-4, 6-9, 11, 13-16, включая операционные расходы, связанные:

с возмещением ущерба, понесенного клиентами оператора электронных денежных средств;

с оспариванием клиентами оператора электронных денежных средств операций по уменьшению остатка электронных денежных средств.

10. В подразделе 3.2 раздела 3 Отчета оператором электронных денежных средств указываются обобщенные сведения за отчетный период об уменьшении остатка электронных денежных средств в результате несанкционированного доступа к объектам информационной инфраструктуры оператора электронных денежных средств.

В подразделе 3.2 раздела 3 Отчета не указываются сведения, связанные с получением уведомлений от клиентов оператора электронных денежных, указываемые в подразделе 3.1 раздела 3 Отчета.

10.1. В графе 3 указывается количество событий, связанных с осуществлением несанкционированного доступа к объектам информационной инфраструктуры оператора электронных денежных средств, для соответствующих типов несанкционированного доступа.

10.2. В графе 4 указывается сумма уменьшения остатка электронных денежных средств оператора электронных денежных средств или его клиентов в результате осуществления несанкционированного доступа к объектам информационной инфраструктуры для соответствующих типов несанкционированного доступа.

10.3. В графах 3 и 4 строки 2, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

10.4. В графе 5 строки 3 указывается сумма операционных расходов оператора электронных денежных средств в результате осуществления несанкционированного доступа к объектам его информационной инфраструктуры, для всех типов несанкционированного доступа, приведенных в строках 1 и 2, включая операционные расходы, связанные:

с возмещением ущерба, понесенного клиентами оператора электронных денежных средств;

с оспариванием клиентами оператора электронных денежных средств операций по уменьшению остатка электронных денежных средств;

с уменьшением остатка электронных денежных средств оператора электронных денежных средств.

11. В подразделе 4.1 раздела 4 Отчета расчетным центром платежной системы указываются обобщенные сведения за отчетный период о событиях, связанных с получением расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы.

Указанные в подразделе 4.1 раздела 4 Отчета сведения обобщаются для каждой платежной системы, в рамках которой предоставляются расчетные услуги, и каждой кредитной организации - участника платежной системы, которой предоставляются расчетные услуги.

11.1. В графе 3 указываются регистрационные номера операторов платежных систем, в рамках которых осуществлены переводы по списанию денежных средств с корреспондентских счетов участников без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы, по соответствующим причинам списания.

Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.

11.2. В графе 4 указываются регистрационные номера кредитных организаций - участников платежных систем, с корреспондентских счетов которых осуществлены списания денежных средств без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы, по соответствующим причинам списания.

11.3. В графе 5 указывается сумма денежных средств, в отношении которой получены уведомления кредитных организаций - участников платежных систем о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы, по соответствующим причинам списания.

11.4. В графе 6 указывается сумма денежных средств, возмещенная кредитным организациям - участникам платежных систем вследствие списания денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы, по соответствующим причинам списания.

11.5. В графах 5-6 строки 3, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

12. В подразделе 4.2 раздела 4 Отчета расчетным центром значимой платежной системы указываются обобщенные сведения за отчетный период о событиях, связанных с неоказанием расчетных услуг, в том числе:

сведения за отчетный период о событиях, связанных с неоказанием расчетных услуг на период более одного операционного дня;

сведения за отчетный период о событиях, связанных с невыполнением в течение операционного дня расчетов для принятых к исполнению распоряжений платежного клирингового центра или участников платежной системы.

12.1. Графа 3 строк подраздела 4.2 раздела 4 Отчета, определяющих в графе 2 название подразделов, не заполняется.

12.2. В графе 3 указывается количество событий, связанных с неоказанием расчетных услуг по соответствующим причинам.

12.3. В графе 3 строк 2 и 5, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

12.4. В графе 3 строки 7 указывается сумма данных строк 3 и 6.

13. В подразделе 4.3 раздела 4 Отчета платежным клиринговым центром значимой платежной системы указываются обобщенные сведения за отчетный период о событиях, связанных с неоказанием услуг платежного клиринга, в том числе:

сведения за отчетный период о событиях, связанных с неоказанием услуг платежного клиринга на период более одного операционного дня;

сведения за отчетный период о событиях, связанных с невыполнением в течение операционного дня платежного клиринга для принятых к исполнению распоряжений участников платежной системы.

13.1. В графе 3 строк 1, 2, 4 и 5 указывается количество событий, связанных с неоказанием услуг платежного клиринга по соответствующим причинам.

13.2. В графе 3 строк 2 и 5, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенных во взаимодействии (совместно) с действиями внутреннего нарушителя.

13.3. В графе 3 строки 7 указывается сумма данных строк 3 и 6.

14. В подразделе 4.4 раздела 4 Отчета операционным центром значимой платежной системы указываются обобщенные сведения за отчетный период о событиях, связанных с неоказанием операционных услуг на период более двух часов.

14.1. В графе 3 указывается количество событий, связанных с неоказанием операционных услуг по соответствующим причинам.

14.2. В графе 3 строки 2, в том числе, указываются данные, касающиеся действий внешнего нарушителя, совершенные во взаимодействии (совместно) с действиями внутреннего нарушителя.

15. В Отчете количество событий указывается в единицах, суммы денежных (электронных) денежных средств, суммы операционных расходов - в рублях без десятичных знаков после запятой.

16. Пересчет в рубли сумм переводов денежных средств в иностранной валюте осуществляется по официальному курсу соответствующей иностранной валюты по отношению к рублю, установленному Банком России на дату:

совершения операций по переводу денежных средств для значений, указываемых в графах 3 и 6 подраздела 2.1 раздела 2 Отчета, в графе 4 подраздела 2.2 раздела 2 Отчета, в графе 5 подраздела 3.1 раздела 3 Отчета, в графе 4 подраздела 3.2 раздела 3 Отчета и в графе 5 подраздела 4.1 раздела 4 Отчета;

возмещения (возврат) клиентам или участникам платежной системы для значений, указанных в графе 7 подраздела 2.1 раздела 2 Отчета, в графе 6 подраздела 3.1 раздела 3 Отчета и в графе 6 подраздела 4.1 раздела 4 Отчета;

отнесения операционных расходов по счетам бухгалтерского учета для значений, указанных в графе 8 подраздела 2.1 раздела 2 Отчета, в графе 5 подраздела 2.2 раздела 2 Отчета, в графе 7 подраздела 3.1 раздела 3 Отчета и в графе 5 подраздела 3.2 раздела 3 Отчета.

17. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России от 16 июля 2012 года № 2851-У «О правилах составления и предоставления отчетности кредитными организациями в Центральный Банк Российской Федерации», зарегистрированным Министерством юстиции Российской Федерации 5 сентября 2012 года № 25382, 25 апреля 2017 года № 46485 (далее - Указание Банка России № 2851-У). Банк России принимает от Внешэкономбанка, в случае, если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России № 2851-У.

18. Отчет отчитывающегося оператора, являющегося кредитной организацией, и Внешэкономбанка, в случае, если он является отчитывающимся оператором, принимается структурным подразделением Банка России, осуществляющим сбор и обработку отчетности.

Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

19. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России от 24 января 2005 года № 1546-У «О порядке предоставления кредитными организациями в Центральный Банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации», зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года № 6353, 28 ноября 2007 года № 10558 (далее - Указание Банка России № 1546-У).

Отчет Внешэкономбанка, в случае, если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России № 1546-У.

Средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.

Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам структурным подразделением Банка России, осуществляющим сбор и обработку отчетности.

20. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.

20.1. Отчет принимается структурным подразделением Банка России, осуществляющим сбор и обработку отчетности, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.

Отчет принимается в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

20.2. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления структурным подразделением Банка России, осуществляющим сбор и обработку отчетности, в адрес отчитывающегося оператора подтверждения о подлинности полученного структурным подразделением Банка России, осуществляющим сбор и обработку отчетности, электронного сообщения.

20.3. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.

20.4. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей, в том числе, если в отчетном периоде отчитывающимся оператором не было выявлено событий, указанных в абзацах втором - восьмом пункта 1 настоящей Методики, графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).

20.5. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.

Исправление данных в Отчете осуществляется в срок не позднее десяти рабочих дней после дня выявления факта недостоверности предоставленных данных Отчета.

Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения.

Пояснительная записка
к проекту Указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»

Банк России разработал проект указания Банка России «О внесении изменений в Указание Банка России от 9 июня 2012 года № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»» (далее - проект Указания).

Проект Указания разработан в соответствии с частью 3 статьи 27 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» в целях совершенствования требований по обеспечению защиты информации при осуществлении переводов денежных средств.

Проект Указания устанавливает обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению в Банк России отчетности по форме 0403203 «Сведения о событиях, связанных с нарушением защиты информации при осуществлении переводов денежных средств» (далее - отчетность по форме 0403203) на ежеквартальной и полугодовой* основе.

Проект Указания исключает из формы отчетности 0403203 вопросы технической реализации инцидентов защиты информации, указывающих на причины их возникновения, а также обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры по предоставлению сведений о технических способах реализации инцидентов защиты информации.

Проект Указания устанавливает обязанность операторов по переводу денежных средств и операторов услуг платежной инфраструктуры в рамках предоставления отчетности по форме 0403203 включать экономические показатели, характеризующие, среди прочего:

суммы денежных средств, подвергнутых покушению на хищение за отчетный период;

суммы несанкционированных переводов денежных средств, по которым наступила окончательность перевода денежных средств;

суммы денежных средств, возвращенных оператором по переводу денежных средств клиентам в рамках реализации обязанности, установленной статьей 9 Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе».

Действие настоящего проекта Указания распространяется на участников национальной платежной системы.

Вступление в силу проекта Указания предполагается с 1 января 2018 года.

Предложения и замечания по проекту Указания принимаются с 25.08.2017 по 07.09.2017.

_____________________________

* Для операторов по переводу денежных средств (операторов по переводу электронных денежных средств), являющихся небанковскими кредитными организациями, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца не превышает 2 миллиарда рублей.