Глава 2. Составление Отчета

2.1. В графе "Содержание" разделов 1 - 5 Отчета указан формат представляемых сведений. При заполнении этой графы должны указываться без кавычек коды, цифры, символы, комбинации символов, формулировки и наименования. Для символов и комбинаций символов используются только прописные (заглавные) буквы русского алфавита. В случае необходимости указания нескольких вариантов сведений, они перечисляются с разделением точкой с запятой без пробелов.

2.2. В строке 1.1 раздела 1 Отчета (далее - раздел 1) указывается код причины для представления сведений, приведенных в разделе 2 Отчета (далее - раздел 2), разделе 3 Отчета (далее - раздел 3), разделе 4 Отчета (далее - раздел 4):

0 - в случае если кредитная организация не применяет интернет-технологии в своей деятельности;

1 - в случае если кредитная организация вводит в эксплуатацию новый веб-сайт или начинает применять систему ДБО;

2 - в случае если кредитная организация изменяет функциональные характеристики используемых ею веб-сайтов или систем ДБО (вводит дополнительные коммуникационные функции, новые виды услуг в составе систем ДБО, новый программный продукт (далее - ПП) системы ДБО и тому подобное, меняет провайдера интернет-услуг);

3 - в случае если кредитная организация изменяет место нахождения используемого ею веб-сайта или изменяет (добавляет или удаляет) URL веб-сайта;

4 - в случае если кредитная организация прекращает использование веб-сайта или прекращает применять систему ДБО.

Отчеты, представляемые кредитными организациями по состоянию на 1 января года, следующего за отчетным годом, должны содержать коды причин, которые вызвали представление этих Отчетов впервые.

2.2.1. В случае указания в строке 1.1 раздела 1 кода "0" заполняются только строки раздела 6 Отчета (далее - раздел 6).

2.2.2. В случае указания в строке 1.1 раздела 1 кода "1" или "2" кредитные организации, не предоставляющие услуги по ДБО, заполняют раздел 2 (за исключением строки 2.8), строку 4.3.1 подраздела 4.3 раздела 4, раздел 5 Отчета (далее раздел 5) и раздел 6. Кредитные организации, предоставляющие услуги по ДБО, заполняют все разделы, за исключением строки 2.8 раздела 2.

2.2.3. В случае указания в строке 1.1 раздела 1 кода "3" кредитные организации, не предоставляющие услуги по ДБО, заполняют раздел 2, строку 4.3.1 подраздела 4.3 раздела 4, разделы 5 и 6. При этом в строке 2.8 раздела 2 в случае изменения места нахождения веб-сайта указывается причина изменения (то есть прекращения использования предыдущего места нахождения).

2.2.4. В случае указания в строке 1.1 раздела 1 кода "4" кредитные организации заполняют только строки 2.1 - 2.6 и 2.8 - 2.10 раздела 2.

2.3. В случае если кредитной организации необходимо представить несколько Отчетов, разделы 5 и 6 заполняются только в одном Отчете. В случае если кредитная организация представляет Отчет с кодом "4" в строке 1.1 раздела 1, содержащий разделы 5 и 6, данные, содержащиеся в этих разделах, должны быть представлены в другом Отчете, присланном кредитной организацией (с кодами "1" - "3" в строке 1.1 раздела 1).

2.4. В строке 2.1 раздела 2 приводятся все URL веб-сайта. Вместе с URL должен указываться применяемый интернет-протокол. URL с указанием и без указания "www" считаются различными и подлежат отражению в Отчете. В строке 2.1 раздела 2 приводятся все URL, внесенные в таблицы соответствия числовым идентификаторам пользователей и ресурсов сети "Интернет" (далее - IP-адрес), находящиеся на серверах доменных имен (DNS-серверах).

2.5. В случае если применяемая кредитной организацией система ДБО не использует веб-технологии, а сеть "Интернет" используется только в качестве транспортной среды, URL не указывается.

2.6. В строке 2.2 раздела 2 приводится IP-адрес веб-сайта. С IP-адресом должен указываться применяемый интернет-протокол и, если используется, номер порта.

2.7. В строке 2.3 раздела 2 приводятся прежние URL веб-сайта.

2.8. В строке 2.4 раздела 2 приводится прежний IP-адрес веб-сайта.

2.9. В случае наличия у кредитной организации веб-страниц в социальных сетях кредитная организация представляет об этом Отчет, указывая в строке 2.1 раздела 2 URL этих страниц.

2.10. В случае указания в строке 1.1 раздела 1 кода "3" (при изменении адреса) в строке 2.3 раздела 2 приводится (приводятся) прежний (прежние) URL, а в строке 2.4 раздела 2 приводится прежний IP-адрес. В случае указания других кодов графа "Содержание" не заполняется.

2.11. В строке 2.5 раздела 2 указывается функциональное назначение веб-сайта. В случае если веб-сайт используется для распространения на постоянной основе сведений, характеризующих кредитную организацию и ее деятельность, и (или) как средство интерактивного двустороннего информационного обмена клиентов с кредитной организацией без проведения банковских операций и сделок для клиентов, указывается символ "И" (информационный). В случае если веб-сайт, независимо от выполнения информационных функций, используется для осуществления клиентами кредитных организаций банковских операций и сделок, указывается символ "О" (операционный). Наличие на информационном веб-сайте ссылки на отдельный операционный веб-сайт не влечет отнесение его к операционным.

2.12. В строке 2.6 раздела 2 в соответствии с кодом причины для предоставления сведений (строка 1.1 раздела 1) указывается одна из следующих дат:

дата ввода веб-сайта в эксплуатацию;

дата изменения функционального назначения и (или) функциональных возможностей веб-сайта или дата замены провайдера интернет-услуг;

дата изменения места нахождения веб-сайта;

дата последнего дня использования кредитной организацией веб-сайта.

Все даты в Отчете указываются в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год.

2.13. В строке 2.7 раздела 2 указывается дата принятия (утверждения) внутреннего документа кредитной организации об использовании веб-сайта. В случае отсутствия такого документа графа "Содержание" не заполняется.

2.14. В строке 2.8 раздела 2 указывается краткая (в одно предложение без точки) формулировка причины прекращения использования веб-сайта.

2.15. В строке 2.9 раздела 2 указывается дата принятия (утверждения) внутреннего документа кредитной организации о прекращении использования веб-сайта, включающего описание всех мероприятий, подлежащих проведению с третьими сторонами, участвующими в обеспечении работы использующегося веб-сайта. В случае отсутствия такого документа графа "Содержание" не заполняется.

2.16. В строке 2.10 раздела 2 указывается дата принятия (утверждения) внутреннего документа кредитной организации об уведомлении клиентов о прекращении использования веб-сайта. В случае отсутствия такого документа графа "Содержание" не заполняется.

2.17. В строке 2.11 раздела 2 указывается место нахождения стартовой (главной) страницы веб-сайта:

в случае если она находится на веб-сервере, установленном непосредственно в самой кредитной организации, указываются символы "КО" (кредитная организация);

в случае если веб-сервер находится у провайдера интернет-услуг, указываются символы "ИП" (интернет-провайдер);

в случае если веб-сервер размещается у разработчика веб-сайта, указываются символы "РС" (разработчик сайта);

во всех иных случаях указываются символы "ДР" (другое).

2.18. В строке 2.12 раздела 2 указываются сведения о поддержке веб-сайта. В случае если поддержание в работоспособном состоянии, модернизация, а также обеспечение целостности и актуальности информационного содержания веб-сайта осуществляются самой кредитной организацией, указываются символы "КО", если указанные действия осуществляются провайдером интернет-услуг - символы "ИП", если разработчиком веб-сайта - символы "РС", если реализован другой вариант, - символы "ДР".

2.19. В строке 2.13 раздела 2 указывается дата заключения договора со сторонней организацией в случае размещения веб-сайта кредитной организации на веб-сервере, принадлежащем сторонней организации. В случае отсутствия такого договора графа "Содержание" не заполняется.

2.20. В строке 2.14 раздела 2 указывается дата заключения договора с провайдером интернет-услуг. В случае отсутствия такого договора графа "Содержание" не заполняется.

2.21. В строке 3.1 раздела 3 указывается дата принятия (утверждения) внутреннего документа о предоставлении услуг по ДБО. В случае отсутствия документа графа "Содержание" не заполняется.

2.22. В строке 3.2 раздела 3 указывается название ПП, посредством которого осуществляется дистанционное предоставление клиентам банковских услуг (банковское обслуживание) через сеть "Интернет".

2.23. В строке 3.3 раздела 3 указывается наименование организации - разработчика ПП, указанного в строке 3.2 раздела 3, которое должно точно соответствовать ее регистрационным данным. В случае если разработка ПП выполнена специалистами самой кредитной организации, указываются символы "КО".

2.24. В строках 4.1.1 - 4.1.8 подраздела 4.1 раздела 4 (далее - подраздел 4.1) указывается код "1" в случае оказания кредитной организацией отраженных в них услуг или код "0" в ином случае.

2.25. В строке 4.1.9 подраздела 4.1 указываются наименования предоставляемых кредитной организацией в рамках ДБО операционных услуг, не вошедших в строки 4.1.1 - 4.1.8 подраздела 4.1.

2.26. В строках 4.2.1 - 4.2.4 подраздела 4.2 раздела 4 (далее - подраздел 4.2) указывается код "1" в случае оказания кредитной организацией отраженных в них услуг или код "0" в ином случае.

2.27. В строке 4.2.5 подраздела 4.2 указывается код "1" в случае предоставления кредитной организацией клиенту возможности осуществления через веб-сайт запросов по банковскому обслуживанию и получения от кредитной организации ответов или код "0" в ином случае.

2.28. В строке 4.3.1 подраздела 4.3 раздела 4 (далее - подраздел 4.3) указывается код "1" в случае наличия в кредитной организации структурного подразделения информационных технологий, отвечающего за разработку и (или) эксплуатацию банковской автоматизированной системы кредитной организации и технологий ДБО, или код "0" в ином случае.

2.29. В строке 4.3.2 подраздела 4.3 указывается код "1" в случае наличия системного администратора (банковской автоматизированной системы) или код "0" в случае его (ее) отсутствия или выполнения его (ее) функций администратором информационной безопасности.

2.30. В строке 4.3.3 подраздела 4.3 указывается количество сотрудников, в должностные обязанности которых входит обеспечение функционирования систем ДБО.

2.31. В строке 4.3.4 подраздела 4.3 указывается дата принятия (утверждения) методического документа по выявлению, анализу, мониторингу и контролю банковских рисков, связанных с выполнением операций посредством ДБО. В случае отсутствия такого документа графа "Содержание" не заполняется.

2.32. В строке 4.3.5 подраздела 4.3 указывается дата принятия (утверждения) внутреннего документа, содержащего сведения о результатах проведенных мероприятий по выявлению и оценке рисков, связанных с ДБО. В случае отсутствия такого документа графа "Содержание" не заполняется.

2.33. В строке 4.3.6 подраздела 4.3 указывается код "1" в случае наличия установленного кредитной организацией лимита суммы денежных средств, переводимых в течение определенного периода времени с использованием систем ДБО, или код "0" в ином случае.

2.34. В строке 4.3.7 подраздела 4.3 указывается дата принятия (утверждения) внутреннего документа, определяющего процедуры внутреннего контроля за технологиями ДБО (как самостоятельные, так и интегрированные в работу структурного подразделения внутреннего контроля). В случае отсутствия такого документа графа "Содержание" не заполняется.

2.35. В строке 4.3.8 подраздела 4.3 указывается дата принятия (утверждения) плана обеспечения непрерывности функционирования ДБО, включающего, кроме прочих, мероприятия по восстановлению (возобновлению) операций в случае возникновения обстоятельств, нарушающих функционирование систем, обеспечивающих выполнение операций при ДБО. В случае отсутствия такого плана графа "Содержание" не заполняется.

2.36. В строке 4.3.9 подраздела 4.3 указывается код "1" в случае использования в качестве клиентской части систем ДБО стандартных интернет-браузеров или код "0" в ином случае.

2.37. В строке 4.3.10 подраздела 4.3 указывается код "1" в случае использования в качестве клиентской части систем, поставляемых в рамках договора на оказание услуг ДБО, программно-информационных компонентов, не входящих в состав стандартных интернет-браузеров (специализированные программы, средства защиты информации, вспомогательные базы данных, нормативно-справочная информация и иные), или код "0" в ином случае.

2.38. Графа 3 строк 5.1 и 5.3 раздела 5 Отчета не заполняется.

2.39. В графе 3 строк 5.1.1 - 5.1.3 и 5.2 раздела 5 указывается код "1" в случае использования технических средств, указанных в графе 2 этих строк, или код "0" в ином случае.

2.40. В строке 5.3.1 раздела 5 указывается код "1" в случае проведения ежегодного контроля защищенности в форме тестирования на проникновение или код "0" в ином случае.

2.41. В строке 5.3.2 раздела 5 указывается код "1" в случае проведения ежегодного контроля защищенности в форме анализа уязвимостей системы защиты информации или код "0" в ином случае.

2.42. В строке 5.4 раздела 5 указывается код "1" в случае привлечения для проведения контроля защищенности юридических лиц или индивидуальных предпринимателей, имеющих лицензию на деятельность по технической защите конфиденциальной информации, или код "0" в ином случае.

2.43. В строке 5.5 раздела 5 указывается код "1" в случае применения для реализации интернет-технологий прикладного программного обеспечения, прошедшего проверку контроля отсутствия недекларированных возможностей и анализа уязвимостей и (или) сертифицированного на соответствие требованиям по безопасности информации, или код "0" в ином случае.

2.44. В графе 3 подраздела 6.1 раздела 6 (далее - подраздел 6.1) указываются сведения об использовании информационных систем, применяемых группой подразделений, отвечающих за непосредственную работу с клиентами (в том числе информационных систем поддержки деятельности таких подразделений, систем ДБО, портала самообслуживания клиента (личный кабинет), информационного киоска торгового зала).

В графе 4 подраздела 6.1 указываются сведения об информационных системах, применяемых группой подразделений, отвечающих за проверку и непосредственную обработку клиентских операций (в том числе об информационных системах для проверки кредитоспособности заемщиков, для ввода данных, полученных в неструктурированном виде из подразделений, указанных в абзаце первом настоящего пункта, для контроля рисков, связанных с конкретными сделками).

В графе 5 подраздела 6.1 указываются сведения об информационных системах, применяемых операционно-учетными подразделениями, обеспечивающими работу подразделений, участвующих в управлении активами и пассивами (в том числе об информационных системах, выполняющих документарное и электронное оформление и сопровождение рыночных сделок, заключаемых сотрудниками подразделений, указанных в абзаце первом настоящего пункта).

В графе 6 подраздела 6.1 указываются сведения об информационных системах, применяемых для создания баз данных по определенным направлениям деятельности (в том числе об автоматизированной банковской системе, карточных системах, системе по торговле на рынке ценных бумаг, системе по учету розничных вкладов).

2.45. В графах 3 - 6 подраздела 6.1 приводятся сокращенные названия ПП (с указанием версии), поименованные в договорах на поставку этих ПП в кредитную организацию.

2.46. В случае неосуществления какой-либо операции, указанной в строках 6.1.1 - 6.1.23 подраздела 6.1, соответствующие им графы 3 - 6 подраздела 6.1 не заполняются.

2.47. В случае неприменения информационной системы для какой-либо операции, указанной в строках 6.1.1 - 6.1.23 подраздела 6.1, на каком-либо уровне системы автоматизации соответствующая графа не заполняется.

2.48. В случае осуществления операции, не указанной в строках 6.1.1 - 6.1.23 подраздела 6.1, в графе 2 строки 6.1.24 подраздела 6.1 приводится наименование такой операции и заполняются графы 3 - 6 строки 6.1.24 подраздела 6.1. В случае если таких операций несколько, в подраздел 6.1 добавляются строки с номерами 6.1.25, 6.1.26 и так далее, по которым заполняются графы 3 - 6.

2.49. В строках 6.2.1 и 6.2.2 подраздела 6.2 раздела 6 приводятся сокращенные фирменные наименования организаций - разработчиков ПП, указанные в договорах на их поставку в кредитную организацию. В случае если таких организаций-разработчиков несколько, в подраздел 6.2 раздела 6 добавляются строки с номерами 6.2.3, 6.2.4 и так далее, по которым заполняется графа 2.