О форме Договора между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений, снабженных кодом аутентификации
- Принято
- Центральным банком Российской Федерации
- В целях обеспечения представления кредитными организациями в Банк России отчетности, предусмотренной нормативными актами Банка России, регламентирующими перечень, формы, правила и порядок составления и представления отчетности в Центральный банк Российской Федерации, в виде электронных сообщений, снабженных кодом аутентификации, в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353 ("Вестник Банка России" от 2 марта 2005 года N 12), структурные подразделения Банка России заключают договоры между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений, снабженных кодом аутентификации. Форма договора прилагается.
- Регламент передачи-приема отчетности в виде электронных сообщений, снабженных кодом аутентификации, между кредитной организацией и структурным подразделением Банка России, регистрационная карточка, порядок обеспечения информационной безопасности при передаче-приеме электронных сообщений, снабженных кодом аутентификации, порядок управления ключами кода аутентификации и ключами шифрования и порядок работы согласительной комиссии разрабатываются структурными подразделениями Банка России в соответствии с положениями, изложенными в приложениях 2 - 6 к договору.
- Г.Г.МЕЛИКЬЯН
Приложение
к Письму от 04 декабря 2007 года № 191-Т
к Письму от 04 декабря 2007 года № 191-Т
-
Договор о передаче-приеме отчетности в виде электронных сообщений, снабженных кодом аутентификации г. _____________________ "__" ___________ ____ г. Центральный банк Российской Федерации в лице __________________________________________________________________________, (Ф.И.О., должность и наименование структурного подразделения Банка России, осуществляющего надзор за деятельностью кредитной организации (ее филиала)) действующего на основании доверенности от "__" _________________________ г. (число, месяц, год) N ____________________, с одной стороны, и ________________________________ (номер доверенности) (полное наименование кредитной ___________________________________________________________________________ организации (ее филиала)), в лице ___________________________________________________________________, (Ф.И.О., должность) действующего на основании ________________________________________________, (Устава/доверенности, число, месяц, год, номер (при наличии)) с другой стороны, в дальнейшем совместно именуемые "Стороны", заключили настоящий Договор о нижеследующем: 1. Предмет Договора 1.1. Настоящий Договор устанавливает порядок участия кредитной организации (ее филиала) __________________________________________________ (полное наименование кредитной организации (ее филиала)) (далее - кредитная организация) в передаче-приеме отчетности в виде электронных сообщений (далее - ОЭС), снабженных кодом аутентификации (далее - КА), в __________________________________________________________________ (полное наименование структурного подразделения Банка России, осуществляющего надзор за деятельностью кредитной организации) (далее - структурное подразделение Банка России) и обязательства Сторон по обеспечению информационной безопасности при передаче-приеме электронных сообщений (далее - ЭС).
- 1.2. Стороны признают, что выполнение условий настоящего Договора является достаточным для обеспечения представления кредитной организацией и приема структурным подразделением Банка России в электронном виде отчетности, предусмотренной нормативными актами Банка России, регламентирующими представление отчетности кредитных организаций в Банк России.
- 2. Общие положения
- 2.1. В Договоре используются понятия и сокращения, приведенные в пункте 1.2 Указания Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированного Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353 ("Вестник Банка России" от 2 марта 2005 года N 12 (далее - Указание Банка России от 24 января 2005 года N 1546-У), а также следующие понятия:
- автоматизированное рабочее место для передачи ЭС (далее - АРМ передачи ЭС) - комплекс программных и аппаратных средств, используемых кредитной организацией для передачи ОЭС в структурное подразделение Банка России и приема ИЭС структурного подразделения Банка России;
- автоматизированное рабочее место для приема ЭС (далее - АРМ приема ЭС) - комплекс программных и аппаратных средств, используемых структурным подразделением Банка России для приема ОЭС кредитной организации и передачи ИЭС структурного подразделения Банка России кредитной организации;
- администратор АРМ передачи ЭС - уполномоченное лицо, назначенное кредитной организацией для организации передачи ЭС с использованием АРМ передачи ЭС и взаимодействия со структурным подразделением Банка России по вопросам передачи ЭС;
- публичная (открытая) часть ключа КА (далее - открытый ключ КА) - данные, предназначенные для аутентификации ЭС получателем. Для выполнения процедуры аутентификации допускается также использование открытого ключа КА в виде сертификата ключа КА;
- секретная часть ключа КА (далее - секретный ключ КА) - данные, предназначенные для создания КА отправителем;
- компрометация секретного ключа КА - событие, определенное владельцем ключа КА как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА;
- ключ шифрования - уникальные данные, используемые при шифровании и расшифровании ЭС;
- пользователь ключа КА - лицо, назначенное владельцем ключа КА и уполномоченное им использовать ключ КА от имени владельца ключа КА;
- регистрационный центр - подразделение, функционирующее в структурном подразделении Банка России, выполняющее функции регистрации ключей КА или сертификатов ключей КА и управления ключами КА и ключами шифрования кредитной организации и структурных подразделений Банка России;
- регистрационная карточка ключа КА кредитной организации или сертификата ключа КА (далее - регистрационная карточка) - документ, содержащий распечатку открытого ключа КА кредитной организации в шестнадцатеричной системе счисления и идентифицирующие кредитную организацию реквизиты, подписанный руководителем и главным бухгалтером кредитной организации и заверенный оттиском печати;
- сертификат ключа КА - совокупность данных, содержащая открытый ключ КА и иную идентифицирующую владельца ключа КА информацию, снабженная КА регистрационного центра;
- средства шифрования - аппаратные, программные, программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи;
- согласительная комиссия - комиссия, создаваемая Сторонами для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.
- 2.2. В соответствии с настоящим Договором Стороны приобретают права и исполняют обязанности в качестве участников передачи-приема ЭС.
- 3. Условия участия в передаче-приеме ЭС
- 3.1. Для участия в передаче-приеме ЭС кредитная организация выполняет следующие действия:
- назначает лиц, ответственных за передачу ОЭС в структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС и пользователей ключа КА;
- самостоятельно комплектует АРМ передачи ЭС необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами аутентификации в соответствии с рекомендацией структурного подразделения Банка России к АРМ передачи ЭС;
-
заключает договор <*> о передаче ей структурным подразделением Банка России программного и (или) иного обеспечения АРМ передачи ЭС по форме, определенной структурным подразделением Банка России ______________________ (указать вид _______________________________________ <**>; программного и (или) иного обеспечения)
- --------------------------------
- <*> Форма договора о передаче кредитной организации структурным подразделением Банка России программного и (или) иного обеспечения АРМ передачи ЭС определяется структурным подразделением Банка России.
- <**> Это условие включается в договор, если для создания необходимого интерфейса для передачи-приема ЭС кредитная организация использует программное и (или) иное обеспечение АРМ передачи ЭС, предоставляемое структурным подразделением Банка России.
- осуществляет в тестовом режиме передачу тестовых данных с АРМ передачи ЭС;
- после выполнения перечисленных действий представляет в структурное подразделение Банка России Акт о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России по форме приложения 1 к настоящему Договору.
- 3.2. Для участия в передаче-приеме ЭС структурное подразделение Банка России выполняет следующие действия:
- сообщает кредитной организации сведения, необходимые для организации у нее АРМ передачи ЭС и обеспечения интерфейса этого АРМ с АРМ приема ЭС;
- в случае заключения договора о передаче программного и (или) иного обеспечения АРМ передачи ЭС передает кредитной организации для установки или устанавливает программное и (или) иное обеспечение, соответствующие комплекты эксплуатационной документации;
-
регистрирует кредитную организацию в качестве участника передачи- приема ЭС, о чем сообщает кредитной организации в срок не позднее ______________ путем _____________________________________________________; (указать срок) (указать способ уведомления кредитной организации)
- регистрирует ключ КА кредитной организации;
- передает кредитной организации открытый ключ КА структурного подразделения Банка России;
- осуществляет в тестовом режиме прием тестовых данных на АРМ приема ЭС.
- 3.3. После выполнения Сторонами действий, указанных в пунктах 3.1 и 3.2 настоящего Договора, в том числе получения структурным подразделением Банка России Акта о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России, структурное подразделение Банка России письменно сообщает кредитной организации дату готовности к приему ОЭС.
- Акт о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России должен храниться в структурном подразделении Банка России и в кредитной организации в течение всего срока действия настоящего Договора.
- 3.4. Основанием для прекращения участия кредитной организации в передаче-приеме ЭС является прекращение действия настоящего Договора.
- 4. Общие принципы передачи-приема ЭС
- 4.1. При передаче-приеме ЭС Сторонами используются форматы, определенные структурным подразделением Банка России.
- Стороны осуществляют передачу-прием ОЭС в соответствии с регламентом передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (далее - регламент передачи-приема ОЭС), основные требования к которому определены приложением 2 к настоящему Договору.
-
4.2. Прием (отказ в приеме) ОЭС подтверждается структурным подразделением Банка России направлением кредитной организации ИЭС о приеме (отказе в приеме) ОЭС. При отказе в приеме ОЭС структурное подразделение Банка России в соответствии с пунктом 3.3 Указания Банка России от 24 января 2005 года N 1546-У обязано указать причину отказа в виде текстового файла в составе ИЭС. Если кредитная организация не получит ИЭС, подтверждающего его прием (отказ в приеме) ОЭС в соответствии с регламентом передачи-приема ОЭС, она вправе запросить у структурного подразделения Банка России результаты проверки ОЭС _____________________________________. (указать способ осуществления запроса)
- Время направления ИЭС о приеме ОЭС, так же, как и время направления ИЭС, включающего протокол контроля, фиксируется каждой Стороной в журнале внутреннего учета и контроля прохождения информации. Форма журнала внутреннего учета и контроля прохождения информации разрабатывается каждой Стороной самостоятельно.
- 4.3. Передача кредитной организацией ОЭС в структурное подразделение Банка России осуществляется с использованием средств телекоммуникаций, а при невозможности их использования - путем передачи ОЭС, записанных на магнитных носителях (порядок перехода с одного способа на другой и документооборот при использовании магнитных носителей должны быть приведены в регламенте передачи-приема ОЭС).
- 4.4. При передаче-приеме ЭС с использованием средств телекоммуникаций для защиты информации применяются средства шифрования, определенные структурным подразделением Банка России.
- 4.5. С началом передачи-приема ОЭС кредитная организация обеспечивает представление в Банк России отчетности только в виде ЭС в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У по перечню, доведенному структурным подразделением Банка России до кредитной организации отдельным письмом, за исключением случаев, указанных в пункте 4.6 настоящего Договора.
- 4.6. В случае возникновения обстоятельств непреодолимой силы и невозможности передачи ОЭС, передача кредитной организацией отчетности в структурное подразделение Банка России осуществляется в порядке, установленном для представления отчетности, не снабженной КА, в соответствии с пунктом 2.6 Указания Банка России от 24 января 2005 года N 1546-У, с указанием сложившихся обстоятельств.
- 5. Использование КА при передаче-приеме ЭС и управление ключами КА и шифрования
- 5.1. Стороны признают, что:
- внесение изменений в ЭС, снабженное КА, приводит к отрицательному результату проверки КА;
- подделка ЭС, снабженного КА, невозможна без использования секретного ключа КА владельца КА;
- каждая Сторона несет ответственность за сохранность своих секретных ключей КА и за действия своих сотрудников при использовании АРМ передачи ЭС и АРМ приема ЭС.
- 5.2. Для создания ключей КА, создания и проверки КА в ЭС Стороны используют средства аутентификации, определенные структурным подразделением Банка России, и признают их достаточными для подтверждения подлинности и контроля целостности ЭС.
-
5.3. Ключи КА подлежат регистрации в регистрационном центре, функционирующем в ________________________________________________________. (указать наименование структурного подразделения Банка России) Для этого в соответствии с приложением 3 к настоящему Договору изготавливается регистрационная карточка. Регистрационная карточка изготавливается в ________________________________________________________. (указать место изготовления регистрационной карточки) Регистрационная карточка изготавливается в двух экземплярах, один из которых хранится в регистрационном центре, другой - в кредитной организации. Ключ КА кредитной организации считается зарегистрированным с даты получения регистрационным центром оформленного экземпляра регистрационной карточки ключа КА кредитной организации.
- 5.4. Кредитная организация приобретает право использовать зарегистрированный в регистрационном центре ключ КА с даты готовности структурного подразделения Банка России к приему ОЭС в соответствии с пунктом 3.3 настоящего Договора.
- Порядок обращения с секретными ключами КА кредитной организации, обеспечивающий их конфиденциальность, и допуск к ним конкретных пользователей устанавливаются внутренними документами кредитной организации и Порядком обеспечения информационной безопасности при передаче-приеме ЭС в соответствии с приложением 4 к настоящему Договору.
- 5.5. Управление ключами КА и ключами шифрования в течение всего срока действия настоящего Договора осуществляется регистрационным центром и регламентируется Порядком управления ключами КА и ключами шифрования в соответствии с приложением 5 к настоящему Договору, а также внутренними документами кредитной организации.
- 5.6. Плановый срок действия ключей КА определяется регистрационным центром.
- 5.7. Плановая смена ключей КА организуется регистрационным центром при соответствующем уведомлении кредитной организации.
- 5.8. Внеплановая смена ключей КА организуется регистрационным центром и может производиться как по инициативе структурного подразделения Банка России, так и кредитной организации в случае компрометации секретного ключа КА.
- При каждой смене ключа КА оформляется новая регистрационная карточка в порядке, предусмотренном пунктом 5.3 настоящего Договора.
- 5.9. После ввода в действие новых ключей КА действовавшие прежде секретные ключи КА уничтожаются, а открытые ключи КА хранятся структурным подразделением Банка России и кредитной организацией в течение всего срока хранения ОЭС, для подтверждения подлинности и контроля целостности которых они могут быть использованы.
- Уничтожение открытых ключей КА после истечения срока их хранения осуществляется структурным подразделением Банка России и кредитной организацией самостоятельно.
- 6. Права и обязанности структурного подразделения Банка России
- 6.1. Структурное подразделение Банка России имеет следующие права:
- отказывать кредитной организации в приеме ОЭС с указанием причины отказа;
- запрашивать, с обоснованием причин, копию ОЭС на бумажном носителе, оформленную в соответствии с требованиями нормативных актов Банка России;
- изменять перечень ОЭС, подлежащих передаче, и их форматы;
-
вносить изменения в регламент передачи-приема ОЭС, порядок осуществления контроля ОЭС, с письменным уведомлением _____________________ __________________________________________________________________________, (указать срок, в течение которого должно быть представлено уведомление) с указанием даты вступления указанных изменений в силу.
- 6.2. Структурное подразделение Банка России обязано:
- принимать ОЭС при соблюдении кредитной организацией настоящего Договора;
- устанавливать регламент передачи-приема ОЭС, перечень и форматы передаваемой ОЭС, порядок осуществления контроля ОЭС;
- соблюдать регламент передачи-приема ОЭС;
- вести архивы ЭС;
- хранить эталоны программных средств, предназначенных для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ЭС, для создания и проверки КА которых использовались указанные средства;
- организовывать смену ключей КА;
- способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов;
- своевременно информировать кредитную организацию обо всех случаях возникновения технических неисправностей или других обстоятельствах, препятствующих приему ЭС.
- 7. Права и обязанности кредитной организации
- 7.1. При передаче ОЭС кредитная организация имеет право обращаться в структурное подразделение Банка России с запросами по вопросам передачи ОЭС.
- 7.2. Кредитная организация обязана:
- передавать ОЭС в установленном структурным подразделением Банка России порядке;
- предоставлять членам согласительной комиссии доступ в помещение, где размещается АРМ передачи ЭС кредитной организации, для проведения проверок соблюдения кредитной организацией условий настоящего Договора в случаях рассмотрения спорных вопросов при передаче-приеме ЭС;
- обеспечивать сохранность, целостность и работоспособность АРМ передачи ЭС;
- информировать структурное подразделение Банка России о возникновении обстоятельств непреодолимой силы и невозможности передачи ОЭС, неисправностях в работе АРМ передачи ЭС и письменно подтверждать наличие этих событий с указанием обстоятельств, при которых они возникли;
- использовать АРМ передачи ЭС кредитной организации только в целях, установленных настоящим Договором, без права передачи третьим лицам или копирования;
- обеспечивать доступ к АРМ передачи ЭС только уполномоченным сотрудникам;
- соблюдать регламент передачи-приема ОЭС;
- соблюдать установленный порядок управления ключами КА и шифрования;
- вести архивы ОЭС в установленном кредитной организацией порядке;
- хранить программные средства, предназначенные для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ОЭС, для создания и проверки КА которых они использовались;
- в случае отзыва лицензии на осуществление банковских операций и принятия решения о продолжении передачи-приема отчетности в виде электронных сообщений, снабженных кодом аутентификации, инициировать внеплановую смену ключа КА и (или) ключа шифрования;
-
в срок до ________________ информировать структурное подразделение (указать срок) Банка России о смене лиц (руководителя и (или) главного бухгалтера), подписавших регистрационную карточку ключа КА кредитной организации, ответственных за передачу ОЭС в структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС и пользователей ключа КА, представив надлежащим образом заверенную копию распорядительного акта кредитной организации об их (его) назначении, и либо письменно подтвердить продолжение действия ключа КА и (или) ключа шифрования, либо инициировать внеплановую смену ключа КА и (или) ключа шифрования; в срок до _______________ информировать структурное подразделение Банка (указать срок) России обо всех случаях технических неисправностей или других обстоятельствах, препятствующих передаче ОЭС;
- способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи ОЭС.
- 8. Обеспечение конфиденциальности
-
Сведения о ключах КА и ключах шифрования, иные сведения ___________________ не подлежат передаче третьим лицам, за исключением (указать какие) случаев, установленных законодательством Российской Федерации.
- 9. Рассмотрение спорных вопросов, возникающих при исполнении настоящего Договора
- Для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС, уполномоченными представителями Сторон может быть создана согласительная комиссия, порядок работы которой изложен в приложении 6 к настоящему Договору.
- 10. Порядок прекращения представления отчетности в виде ЭС
- 10.1. Настоящий Договор вступает в силу с даты его подписания обеими Сторонами и действует в течение неопределенного срока.
- 10.2. Внесение структурным подразделением Банка России изменений в приложение 2 к настоящему Договору в соответствии с пунктом 6.1 настоящего Договора оформляется в виде документа, подписываемого уполномоченным должностным лицом структурного подразделения Банка России, направляемого кредитной организации, являющегося неотъемлемой частью настоящего Договора и вступающего в силу начиная с даты, указанной в уведомлении структурного подразделения Банка России.
-
10.3. Действие настоящего Договора прекращается в случае смены структурного подразделения Банка России, осуществляющего надзор за деятельностью кредитной организации, после закрытия корреспондентского счета в структурном подразделении Банка России, осуществляющем надзор за деятельностью кредитной организации, в случае закрытия филиала кредитной организации, если Договор был заключен непосредственно с ним, по инициативе одной из Сторон. При этом Сторона-инициатор должна уведомить другую Сторону о предстоящем прекращении действия Договора направлением другой Стороне соответствующего уведомления не позднее ___________________________ (указать срок) календарных дней до даты прекращения действия Договора.
- 10.4. Структурное подразделение Банка России в одностороннем порядке вправе прекратить действие настоящего Договора в следующих случаях:
- несогласия кредитной организации с изменениями, вносимыми в настоящий Договор структурным подразделением Банка России, в случаях, установленных настоящим Договором;
- нарушения кредитной организацией требований к передаче ОЭС и обеспечению безопасности при передаче-приеме ЭС, предусмотренных Указанием Банка России от 24 января 2005 года N 1546-У и настоящим Договором.
- 10.5. После прекращения действия Договора кредитная организация осуществляет представление отчетности в порядке, установленном Банком России для представления отчетности, не снабженной КА.
- 11. Прочие условия
- 11.1. Права и обязанности Сторон по настоящему Договору не могут быть уступлены или переданы третьим лицам.
- 11.2. По не урегулированным настоящим Договором вопросам Стороны руководствуются законодательством Российской Федерации, в том числе нормативными актами Банка России.
- 11.3. Неотъемлемой частью настоящего Договора являются следующие приложения:
- форма Акта о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России (приложение 1);
- регламент передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (приложение 2);
- регистрационная карточка (приложение 3);
- порядок обеспечения информационной безопасности при передаче-приеме ЭС (приложение 4);
- порядок управления ключами КА и ключами шифрования (приложение 5);
- порядок работы согласительной комиссии (приложение 6).
- 11.4. Все изменения к настоящему Договору, за исключением условий, предусмотренных пунктом 10.2 настоящего Договора, оформляются Дополнительными соглашениями и подписываются уполномоченными представителями Сторон.
- 11.5. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, на ______ листах каждый. Один из экземпляров хранится в структурном подразделении Банка России, другой - в кредитной организации.
-
Центральный банк Кредитная организация: Российской Федерации:
Приложение
к Письму от 04 декабря 2007 года № 191-Т
к Письму от 04 декабря 2007 года № 191-Т
-
УТВЕРЖДАЮ Руководитель ____________________________________ (наименование кредитной организации) _________________________________________________ "__" __________ ____ г. АКТ о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России г. ______________________ "__" ___________ года Комиссия, назначенная ________________________________________________, (вид, номер и дата распорядительного акта) __________________________________________________________________________, (наименование кредитной организации) в составе: 1. ________________________ 2. ________________________ 3. ________________________ 4. ________________________ провела проверку готовности _______________________________________________ (наименование кредитной организации) к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России. Комиссия установила следующее: 1. В части реализации организационных мер: ___________________________________________________________________________ ___________________________________________________________________________ 2. В части выполнения рекомендаций структурного подразделения Банка России к АРМ передачи ЭС кредитной организации: ___________________________________________________________________________ ___________________________________________________________________________ 3. В части обеспечения информационной безопасности: ___________________________________________________________________________ ___________________________________________________________________________ Приложения: 1. Акт об установке АРМ передачи ЭС <*>. 2. Акт об установке средств защиты информации <**>. 3. Надлежащим образом заверенная копия распорядительного акта о назначении лиц, ответственных за передачу ОЭС в структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС и пользователей ключа КА. Заключение: ___________________________________________________________________________ ___________________________________________________________________________ Настоящий акт составлен на _____ страницах в двух экземплярах, имеющих одинаковую юридическую силу. Члены комиссии: Ф.И.О. _______________________________ (подпись) Ф.И.О. _______________________________ (подпись)
- --------------------------------
- <*> Акт составляется в произвольной форме, содержание которой должно отражать соответствие рекомендациям к АРМ передачи ЭС структурного подразделения Банка России. Акт утверждается руководителем кредитной организации.
- <**> Акт составляется в произвольной форме, в нем должны быть приведены контрольные значения средств контроля целостности программного обеспечения средства криптографической защиты информации, установленного на АРМ передачи ЭС, и программного обеспечения по контролю средств контроля целостности. Акт утверждается руководителем кредитной организации.
Регламент передачи-приема оэс между кредитной организацией и структурным подразделением банка России
- В регламенте передачи-приема ОЭС указывается следующая информация:
- 1. Время начала и окончания передачи-приема ОЭС.
- 2. Описание схемы документооборота между кредитной организацией и структурным подразделением Банка России.
- 3. Способ и порядок передачи ОЭС (по каналам связи, на магнитном носителе). Порядок перехода с одного способа передачи ОЭС на другой.
- 4. Сеансы передачи ОЭС.
- 5. Порядок подтверждения подлинности и контроля целостности и проверки соответствия ОЭС требованиям, установленным Указанием Банка России от 24 января 2005 года N 1546-У, с указанием времени, способа передачи и предельных сроков, в течение которых структурное подразделение Банка России должно сообщить кредитной организации о результатах контроля, а также действий Сторон при отрицательных результатах проведенного контроля.
- 6. Реквизиты электронной почтовой системы кредитной организации и структурного подразделения Банка России.
- 7. Контактные телефоны структурного подразделения Банка России.
Регистрационная карточка (разрабатывается в структурном подразделении банка России в зависимости от функциональных возможностей конкретного средства аутентификации, применяемого при передаче-приеме эс)
- 1. Обязательными реквизитами регистрационной карточки являются:
- наименование структурного подразделения Банка России;
- наименование кредитной организации;
- наименование применяемого средства аутентификации;
- информация, идентифицирующая ключ КА (идентификатор и (или) номер КА, идентификатор и (или) номер серии);
- распечатка открытого ключа КА кредитной организации в шестнадцатеричной системе счисления;
- дата изготовления ключа КА;
- даты начала и окончания срока действия ключа КА;
- Ф.И.О. , должность и подписи руководителя и главного бухгалтера кредитной организации, заверенные оттиском печати;
- Ф.И.О. , должность и подпись администратора регистрационного центра.
- Кроме перечисленных обязательных реквизитов регистрационная карточка может содержать иные реквизиты.
- 2. Регистрационная карточка может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна в обязательном порядке содержать подписи указанных в регистрационной карточке должностных лиц кредитной организации, заверенные оттиском печати.
Порядок обеспечения информационной безопасности при передаче-приеме эс ≪*>
- --------------------------------
- <*> Разрабатывается структурным подразделением Банка России с учетом изложенных требований.
- 1. Передача-прием ЭС между кредитной организацией и структурным подразделением Банка России осуществляются с применением средств криптографической защиты информации (далее - СКЗИ): средств аутентификации и шифрования. Конкретные СКЗИ и порядок их использования определяются структурным подразделением Банка России.
- 2. Установка и настройка СКЗИ на АРМ передачи ЭС кредитной организации выполняются в присутствии администратора АРМ передачи ЭС, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.
- 3. Технологический процесс передачи-приема и обработки ЭС с использованием СКЗИ должен быть регламентирован структурным подразделением Банка России и обеспечен инструктивными и методическими материалами.
- 4. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
- 5. Кредитная организация приобретает средство формирования ключей КА (по рекомендации структурного подразделения Банка России) либо получает его от структурного подразделения Банка России и изготавливает ключи КА самостоятельно. Открытые ключи КА кредитная организация должна направить на регистрацию в регистрационный центр.
- 6. В соответствии с разработанным структурным подразделением Банка России порядком управления ключами КА и ключами шифрования ключи шифрования, предназначенные для обеспечения защиты информации при передаче ЭС по каналам связи, либо предоставляются кредитной организации структурным подразделением Банка России с оформлением акта их приема-передачи по форме, определенной структурным подразделением Банка России, либо изготавливаются кредитной организацией самостоятельно и регистрируются структурным подразделением Банка России с оформлением документов по форме, определенной структурным подразделением Банка России.
- 7. Каждая из Сторон утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием для каждого конкретного лица, к каким ключам это лицо имеет доступ). Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.
- 8. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться хранилища (металлические шкафы, сейфы), оборудованные внутренними замками (далее - хранилище). Хранение носителей ключевой информации с секретными ключами КА допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА.
- 9. По окончании рабочего дня, а также вне времени составления и передачи-приема ЭС носители ключевой информации с секретными ключами КА или ключами шифрования должны помещаться в хранилище.
- 10. Не допускается:
- снимать несанкционированные копии с носителей ключевой информации;
- знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;
- выводить секретные ключи КА или ключи шифрования на дисплей (монитор) ПЭВМ или принтер;
- устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ПЭВМ, на которой программные средства передачи-приема ОЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ПЭВМ;
- записывать на носители ключевой информации постороннюю информацию.
- 11. При компрометации секретного ключа КА или ключа шифрования Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации (утраты) регистрационный центр, который организует внеплановую смену ключей КА или ключей шифрования.
- 12. По факту компрометации ключа КА или ключа шифрования Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в акте <*> о служебном расследовании.
- --------------------------------
- <*> Форма акта о служебном расследовании разрабатывается структурным подразделением Банка России самостоятельно.
- 13. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника соответствующей Стороны, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена смена ключей, к которым указанный сотрудник имел доступ.
Порядок управления ключами ка и ключами шифрования
- Порядок разрабатывается на основании положений приложения 4 к настоящему Договору и эксплуатационной документации на используемые средства криптографической защиты информации.
- В порядке управления ключами КА и ключами шифрования необходимо отразить следующие вопросы:
- 1. Порядок изготовления ключей КА и ключей шифрования кредитной организации.
- 2. Порядок регистрации ключей КА и ключей шифрования.
- 3. Порядок плановой смены ключей КА и ключей шифрования.
- 4. Порядок действия в случае компрометации ключей КА и ключей шифрования.
- 5. Порядок действий с ключами КА и ключами шифрования в случае прекращения передачи-приема ЭС.
Порядок работы согласительной комиссии ≪*>
- --------------------------------
- <*> Разрабатывается структурным подразделением Банка России с учетом изложенных требований.
- 1. Согласительная комиссия (далее - комиссия) создается Сторонами с целью рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием их возникновения, а также в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.
- 2. При возникновении спорных вопросов по передаче-приему ЭС Сторона, предъявляющая претензии (далее - Сторона-инициатор), направляет другой Стороне заявление, подписанное уполномоченным должностным лицом, с подробным изложением этих вопросов и предложением создать комиссию. Заявление должно содержать персональный состав (фамилия и занимаемая должность) представителей Стороны-инициатора, которые будут участвовать в работе комиссии, место, время и дату сбора комиссии (не позднее 7 дней со дня отправления заявления).
- При этом до подачи заявления Стороне-инициатору рекомендуется убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии несанкционированных действий со стороны сотрудников, которым предоставлен доступ к АРМ передачи (приема) ЭС.
- 3. В состав комиссии должно входить равное количество представителей каждой Стороны (до пяти человек, включая представителей службы безопасности, юридической службы и иных), а также, в случае необходимости, независимые специалисты.
- Члены комиссии от каждой Стороны назначаются распорядительными актами соответствующей Стороны. В случае необходимости привлечения независимых специалистов, имеющих официально подтвержденную квалификацию, специалист считается назначенным только при согласии обеих Сторон, выраженном в письменной форме.
- Порядок оплаты работы независимых специалистов в комиссии определяется по предварительному согласованию Сторон.
-
4. Комиссия создается на срок до _______________ дней. В исключительных (указать срок) случаях срок работы комиссии по согласованию Сторон может быть продлен до 30 дней.
- 5. Стороны обязуются способствовать работе комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи-приема ЭС.
- 6. Работа комиссии проходит в два этапа.
- 6.1. На первом этапе комиссия осуществляет контроль целостности (путем расчета контрольных значений) самой программы, с помощью которой осуществляется контроль целостности программного обеспечения средств криптографической защиты информации (далее - ПО СКЗИ) АРМ передачи ЭС, и контроль целостности ПО СКЗИ, установленного на АРМ передачи ЭС. Полученные результаты сравниваются со значениями, записанными в Акте о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России. При их совпадении данное ПО СКЗИ АРМ передачи ЭС принимается к использованию в работе комиссии. При наличии в составе СКЗИ, применяемого при передаче-приеме ЭС, средств разбора разногласий (АРМ разбора конфликтных ситуаций) комиссия может в своей работе использовать эти средства.
- При необходимости комиссии передаются: открытый ключ КА регистрационного центра, открытые ключи КА кредитной организации и структурного подразделения Банка России с соответствующими регистрационными карточками, справочник открытых ключей КА структурного подразделения Банка России, находящийся у кредитной организации.
- Открытые ключи КА (распечатки открытых ключей КА) кредитной организации, структурного подразделения Банка России и регистрационного центра сравниваются со значениями открытых ключей КА в соответствующих регистрационных карточках.
- С помощью принятых комиссией к работе ПО СКЗИ и открытого ключа КА регистрационного центра проверяется целостность и актуальность справочника открытых ключей КА структурного подразделения Банка России, находящегося у кредитной организации.
- При отрицательном результате проверки целостности ПО СКЗИ или сравнения открытых ключей КА регистрационного центра, структурного подразделения Банка России и кредитной организации с соответствующими регистрационными карточками, а также при проверке целостности и актуальности справочника открытых ключей КА структурного подразделения Банка России, находящегося у кредитной организации, дальнейшее рассмотрение разногласий не проводится.
- 6.2. На втором этапе комиссия проводит проверку на подтверждение подлинности и контроль целостности ОЭС.
-
Проверка осуществляется в случаях, когда кредитная организация утверждает, что не направляла ОЭС, а структурное подразделение Банка России утверждает, что ОЭС было получено, или структурное подразделение Банка России утверждает, что не получало ОЭС, а кредитная организация утверждает, что ОЭС было направлено, а также в _________________ случаях. (указать)
- 6.2.1. В случаях, когда кредитная организация отрицает факт отправления ОЭС, структурное подразделение Банка России представляет в комиссию ОЭС, оспариваемое кредитной организацией.
- Комиссия осуществляет проверку на подтверждение подлинности и контроль целостности данного ОЭС путем проверки КА кредитной организации с помощью принятого комиссией к использованию ПО СКЗИ.
- При положительном результате проверки на подтверждение подлинности и контроля целостности ОЭС, представленного структурным подразделением Банка России, комиссия делает вывод о том, что кредитная организация направляла ОЭС структурному подразделению Банка России. Если кредитная организация настаивает на том, что данное ОЭС она не отправляла, комиссия может дополнительно сделать вывод о компрометации секретного ключа КА кредитной организации. В обоих случаях кредитная организация отвечает за информацию, содержащуюся в ОЭС, в соответствии с пунктом 2.9 Указания Банка России от 24 января 2005 года N 1546-У.
- Если проверка КА кредитной организации по оспариваемому ОЭС дает отрицательный результат, то комиссия делает вывод о том, что кредитная организация не направляла ОЭС структурному подразделению Банка России.
- 6.2.2. В случае, когда структурное подразделение Банка России отрицает факт приема ОЭС, кредитная организация предъявляет в комиссию ИЭС структурного подразделения Банка России, подтверждающее положительный результат проверки на подтверждение подлинности и контроль целостности ОЭС или отказ в приеме ОЭС, что свидетельствует о получении структурным подразделением Банка России данного ОЭС.
- 7. По итогам работы комиссии составляется акт, содержащий:
- фактические обстоятельства, послужившие основанием возникновения разногласий;
- описание работ, проведенных членами комиссии;
- вывод по результатам работы комиссии по оспариваемому ОЭС и его обоснование.
- Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта. Члены комиссии, не согласные с мнением большинства, подписывают акт с особым мнением, которое прикладывается к акту.
- 8. В случае если на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен, или получен отказ от участия в работе комиссии, или, если другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 7 настоящего порядка. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.