Документ не вступил в силу. Подробнее см. Справку

Приложение 1. Акт о готовности Клиента к обмену ЭС с Банком России

Приложение 1

к Условиям по защите информации

УТВЕРЖДАЮ

(подпись, Ф.И.О. руководителя (лица, его замещающего или должностного лица, заключившего Договор от имени Клиента)

(наименование Клиента)

"__" __________________ г.

АКТ

о готовности Клиента __________________ (указывается наименование Клиента) к обмену ЭС с Банком России

от "__" ____________ г.

Настоящий акт составлен по результатам проверки готовности к обмену ЭС с использованием __________________________________________________________

<8>.

Комиссия <9>

(указывается наименование Клиента),

созданная на основании ________________ (указывается наименование, дата и номер распорядительного документа Клиента), в составе:

Руководитель Комиссии

(наименование должности, инициалы, фамилия)

Члены Комиссии:

(наименование должности, инициалы, фамилия)

(наименование должности, инициалы, фамилия)

(наименование должности, инициалы, фамилия)

провела проверку готовности к обмену ЭС с Банком России.

Комиссия установила следующее:

1. Выполняются следующие меры в части защиты информации, указанные в Условиях по защите информации:

.

2. Информация о реализации мер в части защиты информации, указанных в подпунктах 2.3.1, 2.3.2 пункта 2.3 Условий по защите информации:

(указываются конкретные меры в части защиты информации и планируемые сроки их реализации).

3. Выполняются следующие меры в части защиты информации:

N п/п

Меры в части защиты информации

Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС, для участника ССНП <10>

3.1.

Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.

АРМ обмена, объекты информационной инфраструктуры Клиента, используемые для приема и передачи ЭС (в случае, когда обмен ЭС осуществляется без эксплуатации АРМ обмена), реализованы в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.

Участник ССНП направляет всю необходимую информацию <2>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 5 к настоящему Акту, в том числе:

-

название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования ЭС или контуру контроля реквизитов ЭС;

-

сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования ЭС или контуру контроля реквизитов ЭС;

-

реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС;

-

реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС;

-

реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС.

3.2.

Объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.

Участник ССНП направляет всю необходимую информацию <3>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:

-

описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования ЭС и контура контроля реквизитов ЭС (автоматизированная система учета операций, АРМ контура контроля ЭС, АРМ контура формирования ЭС, АРМ обмена с Банком России или объекты информационной инфраструктуры Клиента, используемые для приема и передачи ЭС (в случае, когда обмен ЭС осуществляется без эксплуатации АРМ обмена), иное);

-

реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС, включая установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования ЭС и контуром контроля реквизитов ЭС с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости);

-

схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;

-

логическую схему сети с разделением на VLAN, указанием диапазона IP-адресов, масок подсетей, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника;

-

сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);

сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер).

3.3.

В контуре формирования ЭС на основе первичного документа в бумажной или электронной форме или входящего ЭС должны осуществляться:

Участник ССНП направляет всю необходимую информацию <4>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:

формирование исходящего ЭС, предназначенного для направления в платежную систему Банка России;

-

реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России;

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования ЭС, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;

-

технологическую схему и описание технологического процесса формирования ЭС на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:

-

описание этапа формирования исходящего ЭС;

направление исходящего ЭС, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов ЭС.

-

описание этапа контроля реквизитов исходящего ЭС в контуре формирования ЭС с указанием основных контролируемых полей и способов контроля;

3.4.

В контуре контроля реквизитов ЭС должны осуществляться:

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего ЭС;

-

описание этапа подписания исходящего ЭС в контуре формирования ЭС с описанием механизма разграничения доступа при выполнении операций,

-

описание этапа направления исходящего ЭС в контур контроля реквизитов ЭС;

контроль на отсутствие дублирования исходящих ЭС;

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

-

описание этапа контроля реквизитов исходящего ЭС в контуре контроля реквизитов ЭС с указанием основных контролируемых полей и способа контроля;

-

указание источника эталонной информации для сравнения и способа взаимодействия,

-

описание этапа контроля на отсутствие дублирования исходящих ЭС с указанием основных контролируемых полей и способа контроля;

-

описание этапа подписания исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, с описанием механизма разграничения доступа при выполнении операций;

-

описание процедуры (порядок, ответственные) шифрования исходящего ЭС;

-

описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) ЭС.

4. АРМ обмена <14> эксплуатируется ____________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента, ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).

5. СКЗИ эксплуатируется ___________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).

6. АС Клиента эксплуатируется ______________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС Клиента, выполнение требований к защите информации).

7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС при переводе денежных средств в рамках платежной системы Банка России в случае несоблюдения участником обмена требований к защите информации __________________________________________________________________________ (указывается информация в соответствии с пунктом 4 приложения 4 Условий по защите информации).

Заключение

Комиссия считает, что

(указывается наименование Клиента)

готов к осуществлению обмена ЭС при переводе денежных средств в рамках платежной системы Банка России с использованием _________________________________________________ <15>.

Руководитель Комиссии

(инициалы, фамилия)

(подпись, дата)

Члены Комиссии:

(инициалы, фамилия)

(подпись, дата)

(инициалы, фамилия)

(подпись, дата)

(инициалы, фамилия)

(подпись, дата)

Приложения:

1. Акт о готовности АРМ обмена к обмену ЭС <16> (составляется в произвольной форме, акт утверждается руководителем Клиента (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента).

2. Организационно-распорядительный документ участника о назначении администраторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена (с указанием фамилии, инициалов, занимаемой должности, номера телефона).

3. Организационно-распорядительный документ участника о назначении администраторов информационной безопасности АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена (с указанием фамилии, инициалов, занимаемой должности, номера телефона).

4. Организационно-распорядительный документ участника о назначении операторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена, а также лиц допущенных к работе с СКЗИ, АКС и документы о предоставлении полномочий уполномоченным лицам <17> (составляется в произвольной форме с указанием фамилии, инициалов, занимаемой должности, номеров телефонов, перечня филиалов (в том числе централизованных)/перечня централизованных ТОФК, от имени которых работает данный пользователь (данные пользователи)

5. Документы, отражающие (поясняющие) реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС для участника ССНП, в том числе описание информационного взаимодействия и технологического процесса, а также иные документы, указанные в пункте 3 приложения 1 к Условиям по защите информации (в соответствии с приложением к Положению Банка России от 25.07.2022 N 802-П "О требованиях к защите информации в платежной системе Банка России).

6. Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР (по форме приложения к настоящему приложению).

7. Распорядительный документ Клиента о проведении проверки готовности к обмену ЭС с Банком России.

--------------------------------

<8> Указывается наименование используемых АРМ обмена, СКЗИ.

<9> Комиссия назначается соответствующим распорядительным документом Клиента, подписанным руководителем (лицом, его замещающим).

<10> Сервис срочного перевода и сервис несрочного перевода.

<11> Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала. Дублирование информации с приложениями, предоставляемыми к акту, не требуется. В таблицу могут вноситься реквизиты прилагаемых в составе приложений документов в целях исключения дублирования информации.

<12> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к настоящему Акту).

<13> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к настоящему Акту).

<14> Здесь и далее по тексту акта о готовности Клиента к обмену ЭС с Банком России в случае, когда обмен ЭС осуществляется без эксплуатации АРМ обмена и Клиентом для обмена ЭС применяются объекты информационной инфраструктуры Клиента, используемые для приема и передачи ЭС, вместо слов "АРМ обмена" указываются слова "Объекты ИС Клиента" в соответствующем падеже.

<15> Указываются наименование программных комплексов, используемых для АРМ обмена, объектов информационной инфраструктуры Клиента, используемых для приема и передачи ЭС (в случае, когда обмен ЭС осуществляется без эксплуатации АРМ обмена), наименование СКЗИ.

<16> Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, а также значение хеш-суммы самой программы вычисления хеш-сумм.

<17> Клиент обязан предоставлять в Банк России сведения о назначении и изменении состава лиц, указанных в приложениях 2 - 4 к настоящему акту не позднее пятого рабочего дня после внесения изменений.