Рейтинг@Mail.ru

<Письмо> Банка России от 04.12.2007 N 191-Т

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО

от 4 декабря 2007 г. N 191-Т

О ФОРМЕ ДОГОВОРА

МЕЖДУ КРЕДИТНОЙ ОРГАНИЗАЦИЕЙ И БАНКОМ РОССИИ

О ПЕРЕДАЧЕ-ПРИЕМЕ ОТЧЕТНОСТИ В ВИДЕ ЭЛЕКТРОННЫХ СООБЩЕНИЙ,

СНАБЖЕННЫХ КОДОМ АУТЕНТИФИКАЦИИ

В целях обеспечения представления кредитными организациями в Банк России отчетности, предусмотренной нормативными актами Банка России, регламентирующими перечень, формы, правила и порядок составления и представления отчетности в Центральный банк Российской Федерации, в виде электронных сообщений, снабженных кодом аутентификации, в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353 ("Вестник Банка России" от 2 марта 2005 года N 12), структурные подразделения Банка России заключают договоры между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений, снабженных кодом аутентификации. Форма договора прилагается.

Регламент передачи-приема отчетности в виде электронных сообщений, снабженных кодом аутентификации, между кредитной организацией и структурным подразделением Банка России, регистрационная карточка, порядок обеспечения информационной безопасности при передаче-приеме электронных сообщений, снабженных кодом аутентификации, порядок управления ключами кода аутентификации и ключами шифрования и порядок работы согласительной комиссии разрабатываются структурными подразделениями Банка России в соответствии с положениями, изложенными в приложениях 2 - 6 к договору.

Г.Г.МЕЛИКЬЯН

Приложение

к письму Банка России

от 04.12.2007 N 191-Т

"О форме договора между

кредитной организацией и Банком

России о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации"

1.2. Стороны признают, что выполнение условий настоящего Договора является достаточным для обеспечения представления кредитной организацией и приема структурным подразделением Банка России в электронном виде отчетности, предусмотренной нормативными актами Банка России, регламентирующими представление отчетности кредитных организаций в Банк России.

2. Общие положения

2.1. В Договоре используются понятия и сокращения, приведенные в пункте 1.2 Указания Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированного Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353 ("Вестник Банка России" от 2 марта 2005 года N 12 (далее - Указание Банка России от 24 января 2005 года N 1546-У), а также следующие понятия:

автоматизированное рабочее место для передачи ЭС (далее - АРМ передачи ЭС) - комплекс программных и аппаратных средств, используемых кредитной организацией для передачи ОЭС в структурное подразделение Банка России и приема ИЭС структурного подразделения Банка России;

автоматизированное рабочее место для приема ЭС (далее - АРМ приема ЭС) - комплекс программных и аппаратных средств, используемых структурным подразделением Банка России для приема ОЭС кредитной организации и передачи ИЭС структурного подразделения Банка России кредитной организации;

администратор АРМ передачи ЭС - уполномоченное лицо, назначенное кредитной организацией для организации передачи ЭС с использованием АРМ передачи ЭС и взаимодействия со структурным подразделением Банка России по вопросам передачи ЭС;

публичная (открытая) часть ключа КА (далее - открытый ключ КА) - данные, предназначенные для аутентификации ЭС получателем. Для выполнения процедуры аутентификации допускается также использование открытого ключа КА в виде сертификата ключа КА;

секретная часть ключа КА (далее - секретный ключ КА) - данные, предназначенные для создания КА отправителем;

компрометация секретного ключа КА - событие, определенное владельцем ключа КА как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА;

ключ шифрования - уникальные данные, используемые при шифровании и расшифровании ЭС;

пользователь ключа КА - лицо, назначенное владельцем ключа КА и уполномоченное им использовать ключ КА от имени владельца ключа КА;

регистрационный центр - подразделение, функционирующее в структурном подразделении Банка России, выполняющее функции регистрации ключей КА или сертификатов ключей КА и управления ключами КА и ключами шифрования кредитной организации и структурных подразделений Банка России;

регистрационная карточка ключа КА кредитной организации или сертификата ключа КА (далее - регистрационная карточка) - документ, содержащий распечатку открытого ключа КА кредитной организации в шестнадцатеричной системе счисления и идентифицирующие кредитную организацию реквизиты, подписанный руководителем и главным бухгалтером кредитной организации и заверенный оттиском печати;

сертификат ключа КА - совокупность данных, содержащая открытый ключ КА и иную идентифицирующую владельца ключа КА информацию, снабженная КА регистрационного центра;

средства шифрования - аппаратные, программные, программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи;

согласительная комиссия - комиссия, создаваемая Сторонами для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.

2.2. В соответствии с настоящим Договором Стороны приобретают права и исполняют обязанности в качестве участников передачи-приема ЭС.

3. Условия участия в передаче-приеме ЭС

3.1. Для участия в передаче-приеме ЭС кредитная организация выполняет следующие действия:

назначает лиц, ответственных за передачу ОЭС в структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС и пользователей ключа КА;

самостоятельно комплектует АРМ передачи ЭС необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами аутентификации в соответствии с рекомендацией структурного подразделения Банка России к АРМ передачи ЭС;

--------------------------------

<*> Форма договора о передаче кредитной организации структурным подразделением Банка России программного и (или) иного обеспечения АРМ передачи ЭС определяется структурным подразделением Банка России.

<**> Это условие включается в договор, если для создания необходимого интерфейса для передачи-приема ЭС кредитная организация использует программное и (или) иное обеспечение АРМ передачи ЭС, предоставляемое структурным подразделением Банка России.

осуществляет в тестовом режиме передачу тестовых данных с АРМ передачи ЭС;

после выполнения перечисленных действий представляет в структурное подразделение Банка России Акт о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России по форме приложения 1 к настоящему Договору.

3.2. Для участия в передаче-приеме ЭС структурное подразделение Банка России выполняет следующие действия:

сообщает кредитной организации сведения, необходимые для организации у нее АРМ передачи ЭС и обеспечения интерфейса этого АРМ с АРМ приема ЭС;

в случае заключения договора о передаче программного и (или) иного обеспечения АРМ передачи ЭС передает кредитной организации для установки или устанавливает программное и (или) иное обеспечение, соответствующие комплекты эксплуатационной документации;

регистрирует ключ КА кредитной организации;

передает кредитной организации открытый ключ КА структурного подразделения Банка России;

осуществляет в тестовом режиме прием тестовых данных на АРМ приема ЭС.

3.3. После выполнения Сторонами действий, указанных в пунктах 3.1 и 3.2 настоящего Договора, в том числе получения структурным подразделением Банка России Акта о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России, структурное подразделение Банка России письменно сообщает кредитной организации дату готовности к приему ОЭС.

Акт о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России должен храниться в структурном подразделении Банка России и в кредитной организации в течение всего срока действия настоящего Договора.

3.4. Основанием для прекращения участия кредитной организации в передаче-приеме ЭС является прекращение действия настоящего Договора.

4. Общие принципы передачи-приема ЭС

4.1. При передаче-приеме ЭС Сторонами используются форматы, определенные структурным подразделением Банка России.

Стороны осуществляют передачу-прием ОЭС в соответствии с регламентом передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (далее - регламент передачи-приема ОЭС), основные требования к которому определены приложением 2 к настоящему Договору.

Время направления ИЭС о приеме ОЭС, так же, как и время направления ИЭС, включающего протокол контроля, фиксируется каждой Стороной в журнале внутреннего учета и контроля прохождения информации. Форма журнала внутреннего учета и контроля прохождения информации разрабатывается каждой Стороной самостоятельно.

4.3. Передача кредитной организацией ОЭС в структурное подразделение Банка России осуществляется с использованием средств телекоммуникаций, а при невозможности их использования - путем передачи ОЭС, записанных на магнитных носителях (порядок перехода с одного способа на другой и документооборот при использовании магнитных носителей должны быть приведены в регламенте передачи-приема ОЭС).

4.4. При передаче-приеме ЭС с использованием средств телекоммуникаций для защиты информации применяются средства шифрования, определенные структурным подразделением Банка России.

4.5. С началом передачи-приема ОЭС кредитная организация обеспечивает представление в Банк России отчетности только в виде ЭС в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У по перечню, доведенному структурным подразделением Банка России до кредитной организации отдельным письмом, за исключением случаев, указанных в пункте 4.6 настоящего Договора.

4.6. В случае возникновения обстоятельств непреодолимой силы и невозможности передачи ОЭС, передача кредитной организацией отчетности в структурное подразделение Банка России осуществляется в порядке, установленном для представления отчетности, не снабженной КА, в соответствии с пунктом 2.6 Указания Банка России от 24 января 2005 года N 1546-У, с указанием сложившихся обстоятельств.

5. Использование КА при передаче-приеме ЭС и управление ключами КА и шифрования

5.1. Стороны признают, что:

внесение изменений в ЭС, снабженное КА, приводит к отрицательному результату проверки КА;

подделка ЭС, снабженного КА, невозможна без использования секретного ключа КА владельца КА;

каждая Сторона несет ответственность за сохранность своих секретных ключей КА и за действия своих сотрудников при использовании АРМ передачи ЭС и АРМ приема ЭС.

5.2. Для создания ключей КА, создания и проверки КА в ЭС Стороны используют средства аутентификации, определенные структурным подразделением Банка России, и признают их достаточными для подтверждения подлинности и контроля целостности ЭС.

5.4. Кредитная организация приобретает право использовать зарегистрированный в регистрационном центре ключ КА с даты готовности структурного подразделения Банка России к приему ОЭС в соответствии с пунктом 3.3 настоящего Договора.

Порядок обращения с секретными ключами КА кредитной организации, обеспечивающий их конфиденциальность, и допуск к ним конкретных пользователей устанавливаются внутренними документами кредитной организации и Порядком обеспечения информационной безопасности при передаче-приеме ЭС в соответствии с приложением 4 к настоящему Договору.

5.5. Управление ключами КА и ключами шифрования в течение всего срока действия настоящего Договора осуществляется регистрационным центром и регламентируется Порядком управления ключами КА и ключами шифрования в соответствии с приложением 5 к настоящему Договору, а также внутренними документами кредитной организации.

5.6. Плановый срок действия ключей КА определяется регистрационным центром.

5.7. Плановая смена ключей КА организуется регистрационным центром при соответствующем уведомлении кредитной организации.

5.8. Внеплановая смена ключей КА организуется регистрационным центром и может производиться как по инициативе структурного подразделения Банка России, так и кредитной организации в случае компрометации секретного ключа КА.

При каждой смене ключа КА оформляется новая регистрационная карточка в порядке, предусмотренном пунктом 5.3 настоящего Договора.

5.9. После ввода в действие новых ключей КА действовавшие прежде секретные ключи КА уничтожаются, а открытые ключи КА хранятся структурным подразделением Банка России и кредитной организацией в течение всего срока хранения ОЭС, для подтверждения подлинности и контроля целостности которых они могут быть использованы.

Уничтожение открытых ключей КА после истечения срока их хранения осуществляется структурным подразделением Банка России и кредитной организацией самостоятельно.

6. Права и обязанности структурного подразделения Банка России

6.1. Структурное подразделение Банка России имеет следующие права:

отказывать кредитной организации в приеме ОЭС с указанием причины отказа;

запрашивать, с обоснованием причин, копию ОЭС на бумажном носителе, оформленную в соответствии с требованиями нормативных актов Банка России;

изменять перечень ОЭС, подлежащих передаче, и их форматы;

6.2. Структурное подразделение Банка России обязано:

принимать ОЭС при соблюдении кредитной организацией настоящего Договора;

устанавливать регламент передачи-приема ОЭС, перечень и форматы передаваемой ОЭС, порядок осуществления контроля ОЭС;

соблюдать регламент передачи-приема ОЭС;

вести архивы ЭС;

хранить эталоны программных средств, предназначенных для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ЭС, для создания и проверки КА которых использовались указанные средства;

организовывать смену ключей КА;

способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов;

своевременно информировать кредитную организацию обо всех случаях возникновения технических неисправностей или других обстоятельствах, препятствующих приему ЭС.

7. Права и обязанности кредитной организации

7.1. При передаче ОЭС кредитная организация имеет право обращаться в структурное подразделение Банка России с запросами по вопросам передачи ОЭС.

7.2. Кредитная организация обязана:

передавать ОЭС в установленном структурным подразделением Банка России порядке;

предоставлять членам согласительной комиссии доступ в помещение, где размещается АРМ передачи ЭС кредитной организации, для проведения проверок соблюдения кредитной организацией условий настоящего Договора в случаях рассмотрения спорных вопросов при передаче-приеме ЭС;

обеспечивать сохранность, целостность и работоспособность АРМ передачи ЭС;

информировать структурное подразделение Банка России о возникновении обстоятельств непреодолимой силы и невозможности передачи ОЭС, неисправностях в работе АРМ передачи ЭС и письменно подтверждать наличие этих событий с указанием обстоятельств, при которых они возникли;

использовать АРМ передачи ЭС кредитной организации только в целях, установленных настоящим Договором, без права передачи третьим лицам или копирования;

обеспечивать доступ к АРМ передачи ЭС только уполномоченным сотрудникам;

соблюдать регламент передачи-приема ОЭС;

соблюдать установленный порядок управления ключами КА и шифрования;

вести архивы ОЭС в установленном кредитной организацией порядке;

хранить программные средства, предназначенные для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ОЭС, для создания и проверки КА которых они использовались;

в случае отзыва лицензии на осуществление банковских операций и принятия решения о продолжении передачи-приема отчетности в виде электронных сообщений, снабженных кодом аутентификации, инициировать внеплановую смену ключа КА и (или) ключа шифрования;

способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи ОЭС.

8. Обеспечение конфиденциальности

9. Рассмотрение спорных вопросов, возникающих при исполнении настоящего Договора

Для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС, уполномоченными представителями Сторон может быть создана согласительная комиссия, порядок работы которой изложен в приложении 6 к настоящему Договору.

10. Порядок прекращения представления отчетности в виде ЭС

10.1. Настоящий Договор вступает в силу с даты его подписания обеими Сторонами и действует в течение неопределенного срока.

10.2. Внесение структурным подразделением Банка России изменений в приложение 2 к настоящему Договору в соответствии с пунктом 6.1 настоящего Договора оформляется в виде документа, подписываемого уполномоченным должностным лицом структурного подразделения Банка России, направляемого кредитной организации, являющегося неотъемлемой частью настоящего Договора и вступающего в силу начиная с даты, указанной в уведомлении структурного подразделения Банка России.

10.4. Структурное подразделение Банка России в одностороннем порядке вправе прекратить действие настоящего Договора в следующих случаях:

несогласия кредитной организации с изменениями, вносимыми в настоящий Договор структурным подразделением Банка России, в случаях, установленных настоящим Договором;

нарушения кредитной организацией требований к передаче ОЭС и обеспечению безопасности при передаче-приеме ЭС, предусмотренных Указанием Банка России от 24 января 2005 года N 1546-У и настоящим Договором.

10.5. После прекращения действия Договора кредитная организация осуществляет представление отчетности в порядке, установленном Банком России для представления отчетности, не снабженной КА.

11. Прочие условия

11.1. Права и обязанности Сторон по настоящему Договору не могут быть уступлены или переданы третьим лицам.

11.2. По не урегулированным настоящим Договором вопросам Стороны руководствуются законодательством Российской Федерации, в том числе нормативными актами Банка России.

11.3. Неотъемлемой частью настоящего Договора являются следующие приложения:

форма Акта о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России (приложение 1);

регламент передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (приложение 2);

регистрационная карточка (приложение 3);

порядок обеспечения информационной безопасности при передаче-приеме ЭС (приложение 4);

порядок управления ключами КА и ключами шифрования (приложение 5);

порядок работы согласительной комиссии (приложение 6).

11.4. Все изменения к настоящему Договору, за исключением условий, предусмотренных пунктом 10.2 настоящего Договора, оформляются Дополнительными соглашениями и подписываются уполномоченными представителями Сторон.

11.5. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, на ______ листах каждый. Один из экземпляров хранится в структурном подразделении Банка России, другой - в кредитной организации.

Приложение 1

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

--------------------------------

<*> Акт составляется в произвольной форме, содержание которой должно отражать соответствие рекомендациям к АРМ передачи ЭС структурного подразделения Банка России. Акт утверждается руководителем кредитной организации.

<**> Акт составляется в произвольной форме, в нем должны быть приведены контрольные значения средств контроля целостности программного обеспечения средства криптографической защиты информации, установленного на АРМ передачи ЭС, и программного обеспечения по контролю средств контроля целостности. Акт утверждается руководителем кредитной организации.

Приложение 2

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

РЕГЛАМЕНТ

ПЕРЕДАЧИ-ПРИЕМА ОЭС МЕЖДУ КРЕДИТНОЙ ОРГАНИЗАЦИЕЙ

И СТРУКТУРНЫМ ПОДРАЗДЕЛЕНИЕМ БАНКА РОССИИ

В регламенте передачи-приема ОЭС указывается следующая информация:

1. Время начала и окончания передачи-приема ОЭС.

2. Описание схемы документооборота между кредитной организацией и структурным подразделением Банка России.

3. Способ и порядок передачи ОЭС (по каналам связи, на магнитном носителе). Порядок перехода с одного способа передачи ОЭС на другой.

4. Сеансы передачи ОЭС.

5. Порядок подтверждения подлинности и контроля целостности и проверки соответствия ОЭС требованиям, установленным Указанием Банка России от 24 января 2005 года N 1546-У, с указанием времени, способа передачи и предельных сроков, в течение которых структурное подразделение Банка России должно сообщить кредитной организации о результатах контроля, а также действий Сторон при отрицательных результатах проведенного контроля.

6. Реквизиты электронной почтовой системы кредитной организации и структурного подразделения Банка России.

7. Контактные телефоны структурного подразделения Банка России.

Приложение 3

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

РЕГИСТРАЦИОННАЯ КАРТОЧКА

(Разрабатывается в структурном подразделении Банка

России в зависимости от функциональных возможностей

конкретного средства аутентификации, применяемого

при передаче-приеме ЭС)

1. Обязательными реквизитами регистрационной карточки являются:

наименование структурного подразделения Банка России;

наименование кредитной организации;

наименование применяемого средства аутентификации;

информация, идентифицирующая ключ КА (идентификатор и (или) номер КА, идентификатор и (или) номер серии);

распечатка открытого ключа КА кредитной организации в шестнадцатеричной системе счисления;

дата изготовления ключа КА;

даты начала и окончания срока действия ключа КА;

Ф.И.О., должность и подписи руководителя и главного бухгалтера кредитной организации, заверенные оттиском печати;

Ф.И.О., должность и подпись администратора регистрационного центра.

Кроме перечисленных обязательных реквизитов регистрационная карточка может содержать иные реквизиты.

2. Регистрационная карточка может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна в обязательном порядке содержать подписи указанных в регистрационной карточке должностных лиц кредитной организации, заверенные оттиском печати.

Приложение 4

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

ПОРЯДОК

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ЭС <*>

--------------------------------

<*> Разрабатывается структурным подразделением Банка России с учетом изложенных требований.

1. Передача-прием ЭС между кредитной организацией и структурным подразделением Банка России осуществляются с применением средств криптографической защиты информации (далее - СКЗИ): средств аутентификации и шифрования. Конкретные СКЗИ и порядок их использования определяются структурным подразделением Банка России.

2. Установка и настройка СКЗИ на АРМ передачи ЭС кредитной организации выполняются в присутствии администратора АРМ передачи ЭС, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

3. Технологический процесс передачи-приема и обработки ЭС с использованием СКЗИ должен быть регламентирован структурным подразделением Банка России и обеспечен инструктивными и методическими материалами.

4. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

5. Кредитная организация приобретает средство формирования ключей КА (по рекомендации структурного подразделения Банка России) либо получает его от структурного подразделения Банка России и изготавливает ключи КА самостоятельно. Открытые ключи КА кредитная организация должна направить на регистрацию в регистрационный центр.

6. В соответствии с разработанным структурным подразделением Банка России порядком управления ключами КА и ключами шифрования ключи шифрования, предназначенные для обеспечения защиты информации при передаче ЭС по каналам связи, либо предоставляются кредитной организации структурным подразделением Банка России с оформлением акта их приема-передачи по форме, определенной структурным подразделением Банка России, либо изготавливаются кредитной организацией самостоятельно и регистрируются структурным подразделением Банка России с оформлением документов по форме, определенной структурным подразделением Банка России.

7. Каждая из Сторон утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием для каждого конкретного лица, к каким ключам это лицо имеет доступ). Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.

8. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться хранилища (металлические шкафы, сейфы), оборудованные внутренними замками (далее - хранилище). Хранение носителей ключевой информации с секретными ключами КА допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА.

9. По окончании рабочего дня, а также вне времени составления и передачи-приема ЭС носители ключевой информации с секретными ключами КА или ключами шифрования должны помещаться в хранилище.

10. Не допускается:

снимать несанкционированные копии с носителей ключевой информации;

знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;

выводить секретные ключи КА или ключи шифрования на дисплей (монитор) ПЭВМ или принтер;

устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ПЭВМ, на которой программные средства передачи-приема ОЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ПЭВМ;

записывать на носители ключевой информации постороннюю информацию.

11. При компрометации секретного ключа КА или ключа шифрования Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации (утраты) регистрационный центр, который организует внеплановую смену ключей КА или ключей шифрования.

12. По факту компрометации ключа КА или ключа шифрования Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в акте <*> о служебном расследовании.

--------------------------------

<*> Форма акта о служебном расследовании разрабатывается структурным подразделением Банка России самостоятельно.

13. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника соответствующей Стороны, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена смена ключей, к которым указанный сотрудник имел доступ.

Приложение 5

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

ПОРЯДОК

УПРАВЛЕНИЯ КЛЮЧАМИ КА И КЛЮЧАМИ ШИФРОВАНИЯ

Порядок разрабатывается на основании положений приложения 4 к настоящему Договору и эксплуатационной документации на используемые средства криптографической защиты информации.

В порядке управления ключами КА и ключами шифрования необходимо отразить следующие вопросы:

1. Порядок изготовления ключей КА и ключей шифрования кредитной организации.

2. Порядок регистрации ключей КА и ключей шифрования.

3. Порядок плановой смены ключей КА и ключей шифрования.

4. Порядок действия в случае компрометации ключей КА и ключей шифрования.

5. Порядок действий с ключами КА и ключами шифрования в случае прекращения передачи-приема ЭС.

Приложение 6

к Договору

о передаче-приеме отчетности

в виде электронных сообщений,

снабженных кодом аутентификации

от ____________ N _____

ПОРЯДОК

РАБОТЫ СОГЛАСИТЕЛЬНОЙ КОМИССИИ <*>

--------------------------------

<*> Разрабатывается структурным подразделением Банка России с учетом изложенных требований.

1. Согласительная комиссия (далее - комиссия) создается Сторонами с целью рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием их возникновения, а также в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.

2. При возникновении спорных вопросов по передаче-приему ЭС Сторона, предъявляющая претензии (далее - Сторона-инициатор), направляет другой Стороне заявление, подписанное уполномоченным должностным лицом, с подробным изложением этих вопросов и предложением создать комиссию. Заявление должно содержать персональный состав (фамилия и занимаемая должность) представителей Стороны-инициатора, которые будут участвовать в работе комиссии, место, время и дату сбора комиссии (не позднее 7 дней со дня отправления заявления).

При этом до подачи заявления Стороне-инициатору рекомендуется убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии несанкционированных действий со стороны сотрудников, которым предоставлен доступ к АРМ передачи (приема) ЭС.

3. В состав комиссии должно входить равное количество представителей каждой Стороны (до пяти человек, включая представителей службы безопасности, юридической службы и иных), а также, в случае необходимости, независимые специалисты.

Члены комиссии от каждой Стороны назначаются распорядительными актами соответствующей Стороны. В случае необходимости привлечения независимых специалистов, имеющих официально подтвержденную квалификацию, специалист считается назначенным только при согласии обеих Сторон, выраженном в письменной форме.

Порядок оплаты работы независимых специалистов в комиссии определяется по предварительному согласованию Сторон.

5. Стороны обязуются способствовать работе комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи-приема ЭС.

6. Работа комиссии проходит в два этапа.

6.1. На первом этапе комиссия осуществляет контроль целостности (путем расчета контрольных значений) самой программы, с помощью которой осуществляется контроль целостности программного обеспечения средств криптографической защиты информации (далее - ПО СКЗИ) АРМ передачи ЭС, и контроль целостности ПО СКЗИ, установленного на АРМ передачи ЭС. Полученные результаты сравниваются со значениями, записанными в Акте о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России. При их совпадении данное ПО СКЗИ АРМ передачи ЭС принимается к использованию в работе комиссии. При наличии в составе СКЗИ, применяемого при передаче-приеме ЭС, средств разбора разногласий (АРМ разбора конфликтных ситуаций) комиссия может в своей работе использовать эти средства.

При необходимости комиссии передаются: открытый ключ КА регистрационного центра, открытые ключи КА кредитной организации и структурного подразделения Банка России с соответствующими регистрационными карточками, справочник открытых ключей КА структурного подразделения Банка России, находящийся у кредитной организации.

Открытые ключи КА (распечатки открытых ключей КА) кредитной организации, структурного подразделения Банка России и регистрационного центра сравниваются со значениями открытых ключей КА в соответствующих регистрационных карточках.

С помощью принятых комиссией к работе ПО СКЗИ и открытого ключа КА регистрационного центра проверяется целостность и актуальность справочника открытых ключей КА структурного подразделения Банка России, находящегося у кредитной организации.

При отрицательном результате проверки целостности ПО СКЗИ или сравнения открытых ключей КА регистрационного центра, структурного подразделения Банка России и кредитной организации с соответствующими регистрационными карточками, а также при проверке целостности и актуальности справочника открытых ключей КА структурного подразделения Банка России, находящегося у кредитной организации, дальнейшее рассмотрение разногласий не проводится.

6.2. На втором этапе комиссия проводит проверку на подтверждение подлинности и контроль целостности ОЭС.

6.2.1. В случаях, когда кредитная организация отрицает факт отправления ОЭС, структурное подразделение Банка России представляет в комиссию ОЭС, оспариваемое кредитной организацией.

Комиссия осуществляет проверку на подтверждение подлинности и контроль целостности данного ОЭС путем проверки КА кредитной организации с помощью принятого комиссией к использованию ПО СКЗИ.

При положительном результате проверки на подтверждение подлинности и контроля целостности ОЭС, представленного структурным подразделением Банка России, комиссия делает вывод о том, что кредитная организация направляла ОЭС структурному подразделению Банка России. Если кредитная организация настаивает на том, что данное ОЭС она не отправляла, комиссия может дополнительно сделать вывод о компрометации секретного ключа КА кредитной организации. В обоих случаях кредитная организация отвечает за информацию, содержащуюся в ОЭС, в соответствии с пунктом 2.9 Указания Банка России от 24 января 2005 года N 1546-У.

Если проверка КА кредитной организации по оспариваемому ОЭС дает отрицательный результат, то комиссия делает вывод о том, что кредитная организация не направляла ОЭС структурному подразделению Банка России.

6.2.2. В случае, когда структурное подразделение Банка России отрицает факт приема ОЭС, кредитная организация предъявляет в комиссию ИЭС структурного подразделения Банка России, подтверждающее положительный результат проверки на подтверждение подлинности и контроль целостности ОЭС или отказ в приеме ОЭС, что свидетельствует о получении структурным подразделением Банка России данного ОЭС.

7. По итогам работы комиссии составляется акт, содержащий:

фактические обстоятельства, послужившие основанием возникновения разногласий;

описание работ, проведенных членами комиссии;

вывод по результатам работы комиссии по оспариваемому ОЭС и его обоснование.

Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта. Члены комиссии, не согласные с мнением большинства, подписывают акт с особым мнением, которое прикладывается к акту.

8. В случае если на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен, или получен отказ от участия в работе комиссии, или, если другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 7 настоящего порядка. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.

Другие документы по теме
"О Сведениях об аудиторской деятельности (форма N 2-аудит)"
"О направлении Методических рекомендаций по проведению главными распорядителями средств федерального бюджета инвентаризации объектов незавершенного строительства, вложений в объекты недвижимого имущества, и по представлению информации о результатах указанной инвентаризации"
"Об особенностях доведения бюджетных данных на 2015 год и на плановый период 2016 и 2017 годов"
"О форме оценки соответствия продукции"
Ошибка на сайте