Указание Банка России от 21.06.2013 N 3024-У
ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 21 июня 2013 г. N 3024-У
О ВНЕСЕНИИ ИЗМЕНЕНИЙ
В УКАЗАНИЕ БАНКА РОССИИ ОТ 9 ИЮНЯ 2012 ГОДА N 2831-У
"ОБ ОТЧЕТНОСТИ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ
ПРИ ОСУЩЕСТВЛЕНИИ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ
ОПЕРАТОРОВ ПЛАТЕЖНЫХ СИСТЕМ, ОПЕРАТОРОВ УСЛУГ
ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ, ОПЕРАТОРОВ
ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ"
1. В соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 21 июня 2013 года N ) внести в Указание Банка России от 9 июня 2012 года N 2831-У "Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств", зарегистрированное Министерством юстиции Российской Федерации 14 июня 2012 года N 24573 ("Вестник Банка России" от 22 июня 2012 года N 32), следующие изменения.
1.1. Пункт 1 дополнить абзацем следующего содержания:
"Формы, сроки представления и методики составления отчетности по обеспечению защиты информации при осуществлении переводов денежных средств Банком России устанавливаются нормативным актом Банка России, определяющим перечень, формы, правила и порядок составления и представления отчетности структурными подразделениями Банка России в Центральный банк Российской Федерации.".
1.2. Пункт 2 после слов "контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" <1>" дополнить словами "(далее - Положение Банка России N 382-П)".
1.3. Пункт 3 изложить в следующей редакции:
"3. Отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется:
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, - ежемесячно, не позднее десятого рабочего дня месяца, следующего за отчетным;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца превышает 2 миллиарда рублей, - ежеквартально, не позднее десятого рабочего дня месяца, следующего за отчетным кварталом;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца не превышает 2 миллиарда рублей, - раз в полгода, не позднее десятого рабочего дня месяца, следующего за отчетным периодом;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств по требованию Банка России - не позднее десяти рабочих дней со дня получения письменного требования Банка России.
Оператор платежной системы, привлекающий операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, на основе информации, полученной от данного операционного центра в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, составляет отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и представляет данную отчетность ежемесячно, не позднее десятого рабочего дня месяца, следующего за отчетным, а также по требованию Банка России - не позднее десяти рабочих дней со дня получения письменного требования Банка России.".
1.4. Пункт 5 после слов "операторами по переводу денежных средств" дополнить словами ", операторами платежных систем, привлекающими операционные центры, находящиеся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы".
1.5. В приложении 1:
наименование строки I формы отчетности 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств" изложить в следующей редакции: "Субъект национальной платежной системы";
в Методике составления отчетности по форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств":
подпункт 8.1 пункта 8 изложить в следующей редакции:
"8.1. В графе 3 строки 1 указывается значение обобщающего показателя EV1ПС, порядок расчета которого определен в приложении 1 к Положению Банка России N 382-П.";
пункт 10 изложить в следующей редакции:
"10. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России от 16 июля 2012 года N 2851-У "О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 5 сентября 2012 года N 25382 ("Вестник Банка России" от 19 сентября 2012 года N 55) (далее - Указание Банка России N 2851-У).
Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России N 2851-У.".
1.6. Приложение 2 изложить в редакции приложения к настоящему Указанию.
2. Настоящее Указание вступает в силу по истечении 180 дней после дня его официального опубликования в "Вестнике Банка России".
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
Приложение
к Указанию Банка России
от "__" ________ 2013 года N ___-У
"О внесении изменений
в Указание Банка России
от 9 июня 2012 года
N 2831-У "Об отчетности
по обеспечению защиты информации
при осуществлении переводов
денежных средств операторов
платежных систем, операторов
услуг платежной инфраструктуры,
операторов по переводу
денежных средств"
"Приложение 2
к Указанию Банка России
от 9 июня 2012 г. N 2831-У
"Об отчетности по обеспечению
защиты информации при осуществлении
переводов денежных средств
операторов платежных систем,
операторов услуг платежной
инфраструктуры, операторов
по переводу денежных средств"
Методика
составления отчетности по форме 0403203 "Сведения
о выявлении инцидентов, связанных с нарушением требований
к обеспечению защиты информации при осуществлении
переводов денежных средств"
1. Отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее для целей настоящей Методики - Отчет) содержит сведения об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с абзацами шестнадцатым - девятнадцатым пункта 2.2 Положения Банка России N 382-П (далее для целей настоящей Методики - инциденты).
2. Оператор услуг платежной инфраструктуры, оператор по переводу денежных средств, оператор платежной системы, привлекающий операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы (далее - отчитывающийся оператор), включает в Отчет сведения:
об инцидентах, самостоятельно выявленных в отчетном периоде, - если отчитывающийся оператор является оператором по переводу денежных средств и (или) оператором услуг платежной инфраструктуры;
о ставших ему известными инцидентах, выявленных в отчетном периоде его клиентами, - если отчитывающийся оператор является оператором по переводу денежных средств;
о ставших ему известными инцидентах, выявленных в отчетном периоде банковскими платежными агентами (субагентами), - если отчитывающийся оператор является оператором по переводу денежных средств;
о ставших ему известными инцидентах на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, - если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы.
3. В Отчет, предоставляемый отчитывающимся оператором по письменному требованию Банка России, включаются сведения об инцидентах, выявленных отчитывающимся оператором или ставших ему известными за период, указанный в письменном требовании Банка России.
4. В заголовочной части Отчета указываются:
в графе "Код территории по ОКАТО" - код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);
в графе "по ОКПО" - код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);
в графе "регистрационный номер" - регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;
в строке "Наименование" указывается наименование отчитывающегося оператора; в случае если отчитывающийся оператор является кредитной организацией, в строке "Наименование" указывается полное фирменное наименование кредитной организации; в случае если отчитывающийся оператор не является кредитной организацией, в строке "Наименование" указывается наименование отчитывающегося оператора в соответствии с реестром операторов платежных систем, который размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (www.cbr.ru) (далее для целей настоящей Методики - реестр операторов платежных систем);
в строке "Почтовый адрес" - адрес фактического места нахождения отчитывающегося оператора.
5. В разделе 1 Отчета указываются сведения о том, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
5.1. В графе 3 строки 1 раздела 1 Отчета без пробелов, через запятую указываются коды "ОПДС", "ОПС", "ОЦ", "КЦ" и (или) "РЦ", соответствующие тому, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
Код "ОПДС" указывается, если отчитывающийся оператор является оператором по переводу денежных средств. Код "ОПС" указывается, если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы. Код "ОЦ" указывается, если отчитывающийся оператор является операционным центром. Код "КЦ" указывается, если отчитывающийся оператор является клиринговым центром. Код "РЦ" указывается, если отчитывающийся оператор является расчетным центром.
5.2. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в графе 3 строки 2 раздела 1 Отчета указываются без пробелов, через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. В случае если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, в графе 3 строки 2 раздела 1 Отчета указывается регистрационный номер оператора платежной системы. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
5.3. В случае если отчитывающийся оператор является оператором по переводу денежных средств и одновременно участником платежных систем, в графе 3 строки 3 раздела 1 Отчета указываются без пробелов, через запятую регистрационные номера операторов платежных систем, участником которых является оператор по переводу денежных средств. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
6. В графе 3 раздела 2 Отчета указываются сведения о количестве инцидентов, выявленных отчитывающимся оператором или ставших ему известными в отчетном периоде. В случае если отчитывающийся оператор является оператором по переводу денежных средств, в общем количестве инцидентов также учитывается количество ставших известными отчитывающемуся оператору инцидентов, выявленных клиентами, а также выявленных банковскими платежными агентами (субагентами). В случае если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, в общем количестве инцидентов также учитывается количество ставших ему известными инцидентов на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П.
7. Количество строк раздела 3 Отчета равно числу, указанному в графе 3 строки 1 раздела 2 Отчета. В разделе 3 Отчета указываются имеющиеся у отчитывающегося оператора на дату предоставления Отчета сведения об инцидентах, выявленных отчитывающимся оператором или ставших ему известными в отчетном периоде.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код "2.1" указывается, если инцидент привел к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;
код "2.2" указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
код "2.3" указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
код "2.4" указывается, если инцидент привел к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.
9. В графе 3 раздела 3 Отчета указываются без пробелов, через запятую:
дата выявления отчитывающимся оператором инцидента или дата, когда отчитывающемуся оператору стало известно об инциденте;
дата возникновения инцидента.
Даты указываются в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год.
Например, в случае если отчитывающимся оператором 4 сентября 2013 года был выявлен инцидент, связанный с использованием электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для осуществления переводов денежных средств (или отчитывающемуся оператору стало известно об использовании электронного средства платежа без согласия клиента 4 сентября 2013 года), и при этом данное электронное средство платежа было несанкционированно использовано 27 августа 2013 года (например, в соответствии с информацией, указанной в уведомлении, направленном клиентом отчитывающемуся оператору в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ), то в графе 3 указывается "04.09.2013,27.08.2013".
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "4.1" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате <1>;
--------------------------------
<1> Термин "банкомат" приводится в пункте 1.3 Положения Банка России от 24 декабря 2004 года N 266-П "Об эмиссии платежных карт и об операциях, совершаемых с их использованием", зарегистрированного Министерством юстиции Российской Федерации 25 марта 2005 года N 6431, 30 октября 2006 года N 8416, 8 октября 2008 года N 12430, 9 декабря 2011 года N 22528, 21 ноября 2012 года N 25863 ("Вестник Банка России" от 30 марта 2005 года N 17, от 9 ноября 2006 года N 60, от 17 октября 2008 года N 58, от 19 декабря 2011 года N 71, от 28 ноября 2012 года N 67).
код "4.2" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в электронном терминале <1>, установленном в организации торговли и (или) услуг;
--------------------------------
<1> Термин "электронный терминал" приводится в пункте 7 Порядка составления и представления отчетности по форме 0409250 "Сведения об операциях с использованием платежных карт и инфраструктуре, предназначенной для совершения с использованием и без использования платежных карт операций выдачи (приема) наличных денежных средств и платежей за товары (работы, услуги)", установленной в приложении 1 к Указанию Банка России от 12 ноября 2009 года N 2332-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", зарегистрированному Министерством юстиции Российской Федерации 16 декабря 2009 года N 15615, 18 июня 2010 года N 17590, 22 декабря 2010 года N 19313, 20 июня 2011 года N 21060, 16 декабря 2011 года N 22650, 10 июля 2012 года N 24863, 20 сентября 2012 года N 25499, 20 декабря 2012 года N 26203, 29 марта 2013 года N 27926 ("Вестник Банка России" от 25 декабря 2009 года N 75-76, от 25 июня 2010 года N 35, от 28 декабря 2010 года N 72, от 28 июня 2011 года N 34, от 23 декабря 2011 года N 73, от 19 июля 2012 года N 41, от 26 сентября 2012 года N 58, от 27 декабря 2012 года N 76, от 30 марта 2013 года N 20).
код "4.3" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты (реквизитов платежной карты) с целью осуществления переводов денежных средств посредством информационно-телекоммуникационной сети Интернет (далее - сеть Интернет);
код "4.4" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты с целью осуществления переводов денежных средств посредством мобильных телефонов, смартфонов, коммуникаторов и тому подобное (далее - абонентские устройства мобильной связи) при использовании услуг, предоставляемых оператором связи, имеющим право самостоятельно оказывать услуги радиотелефонной подвижной связи (далее - оператор связи), и при этом не может быть присвоен код "4.3", указанный в настоящем пункте;
код "4.5" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты и при этом не может быть присвоен ни один из кодов, указанных выше в настоящем пункте;
код "4.6" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
код "4.7" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежного терминала <1>;
--------------------------------
<1> Термин "платежный терминал" приводится в статье 1 Федерального закона от 22 мая 2003 года N 54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт" (Собрание законодательства Российской Федерации, 2003, N 21, ст. 1957; 2009, N 23, ст. 2776; N 29, ст. 3599; 2010, N 31, ст. 4161; 2011, N 27, ст. 3873; 2012, N 26, ст. 3447; 2013, N 19, ст. 2316).
код "4.8" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, абонентского устройства мобильной связи при использовании услуг, предоставляемых оператором связи и при этом не может быть присвоен код "4.4", указанный в настоящем пункте;
код "4.9" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, сети Интернет и программного обеспечения, предоставляемого клиенту оператором по переводу денежных средств, и при этом не может быть присвоен ни один из кодов "4.3", "4.8", указанных в настоящем пункте;
код "4.10" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, сети Интернет, и при этом не может быть присвоен ни один из кодов "4.3", "4.8", "4.9", указанных в настоящем пункте; например, код "4.10" указывается, если инцидент произошел при использовании сети Интернет и программного обеспечения, специально не предназначенного для переводов денежных средств (например, стандартных интернет-браузеров);
коды "4.11.1" - "4.11.6" указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры <1>; при этом код "4.11.1" указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала; код "4.11.2" указывается, если инцидент произошел при эксплуатации автоматизированной системы, и не может быть присвоен код "4.11.1"; код "4.11.3" указывается, если инцидент произошел при эксплуатации программного обеспечения, и не может быть присвоен код "4.11.1"; код "4.11.4" указывается, если инцидент произошел при эксплуатации средства вычислительной техники, и не может быть присвоен код "4.11.1"; код "4.11.5" указывается, если инцидент произошел при эксплуатации телекоммуникационного оборудования, и не может быть присвоен код "4.11.1"; код "4.11.6" указывается, если инцидент произошел при эксплуатации технического средства защиты информации, и не может быть присвоен код "4.11.1";
--------------------------------
<1> Термин "объект информационной инфраструктуры" приводится в абзаце девятом пункта 2.1 Положения Банка России N 382-П.
код "4.12" указывается, если не может быть присвоен ни один из кодов, указанных выше в настоящем пункте.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "5.1" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов;
коды "5.2.1" и "5.2.2" указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов, и при этом не может быть присвоен код "5.1", указанный в настоящем пункте; код "5.2.1" указывается, если клиент является физическим лицом; код "5.2.2" указывается, если клиент является юридическим лицом;
код "5.3" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы и при этом не может быть присвоен ни один из кодов "5.1", "5.2.1", "5.2.2", указанных в настоящем пункте;
код "5.4" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, объекта информационной инфраструктуры, обеспечивающего взаимодействие структурных подразделений отчитывающегося оператора посредством локальных вычислительных сетей и (или) сети Интернет, и при этом не может быть присвоен ни один из кодов "5.1", "5.2.1", "5.2.2", "5.3", указанных в настоящем пункте;
код "5.5" указывается, если инцидент произошел при осуществлении перевода электронных денежных средств;
код "5.6" указывается отчитывающимся оператором, являющимся операционным центром или оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, если инцидент произошел при обеспечении операционных услуг;
код "5.7" указывается отчитывающимся оператором, являющимся клиринговым центром, если инцидент произошел при обеспечении услуг платежного клиринга;
код "5.8" указывается отчитывающимся оператором, являющимся расчетным центром, если инцидент произошел при обеспечении расчетных услуг.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "6.1" указывается, если причиной инцидента является воздействие вредоносного кода <1>;
--------------------------------
<1> Термин "вредоносный код" приводится в абзаце пятом пункта 2.2 Положения Банка России N 382-П.
код "6.2" указывается, если причиной инцидента является нарушение клиентом условий использования электронного средства платежа, о которых отчитывающийся оператор информирует клиента в соответствии с частью 3 статьи 9 Федерального закона N 161-ФЗ;
код "6.3" указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее - аутентификационная информация);
код "6.4" указывается, если причиной инцидента является умышленное нарушение работником отчитывающегося оператора, банковского платежного агента (субагента), операционного центра, находящегося за пределами Российской Федерации, порядка эксплуатации объекта информационной инфраструктуры;
код "6.5" указывается, если причиной инцидента является неумышленное нарушение работником отчитывающегося оператора, банковского платежного агента (субагента), операционного центра, находящегося за пределами Российской Федерации, порядка эксплуатации объекта информационной инфраструктуры;
код "6.6.1" указывается, если причиной инцидента является внешнее воздействие из сети Интернет, связанное с атаками типа "отказ в обслуживании" (атаками типа DoS/DDoS);
код "6.6.2" указывается, если причиной инцидента является внешнее воздействие из сети Интернет, связанное с подменой адреса и (или) ресурса сети Интернет;
код "6.6.3" указывается, если причиной инцидента является внешнее воздействие из сети Интернет и при этом не может быть присвоен ни один из кодов "6.6.1", "6.6.2", указанных в настоящем пункте;
код "6.7" указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код "6.8" указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию;
код "6.9" указывается, если причиной инцидента является сбой и (или) отказ в работе объекта (объектов) информационной инфраструктуры, за исключением банкоматов, платежных терминалов, электронных терминалов;
код "6.10" указывается, если причиной инцидента является физическое воздействие на объект информационной инфраструктуры, за исключением банкомата, платежного терминала, электронного терминала, приводящим к повреждению данного объекта информационной инфраструктуры;
код "6.11" указывается, если причиной инцидента является хищение объекта информационной инфраструктуры, за исключением банкомата, платежного терминала, электронного терминала;
код "6.12" указывается, если не может быть присвоен ни один из кодов, указанных выше в настоящем пункте.
13. В графе 7 раздела 3 Отчета указываются дополнительные сведения об инциденте (в текстовом формате), а именно:
условия возникновения инцидента, если в графе 4 раздела 3 Отчета указаны коды "4.5" и (или) "4.12";
причины возникновения инцидента, если в графе 6 раздела 3 Отчета указаны коды "6.6.3" и (или) "6.12";
а также иные сведения по решению отчитывающегося оператора.
14. В графе 8 раздела 3 Отчета указывается код территории, на которой был выявлен инцидент, по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов). В случае выявления инцидента за пределами Российской Федерации графа 8 раздела 3 отчета не заполняется.
15. В графе 9 раздела 3 Отчета указываются без пробелов, через запятую требования, установленные Положением Банка России N 382-П вследствие нарушения которых произошел инцидент. Требования указываются в соответствии с их обозначением, приведенным в графе 1 таблицы приложения 2 к Положению Банка России N 382-П. В иных случаях графа 9 раздела 3 Отчета не заполняется.
16. В случае если инцидент произошел при осуществлении переводов денежных средств в платежной системе (платежных системах) в графе 10 раздела 3 Отчета указываются без пробелов, через запятую регистрационные номера оператора соответствующей платежной системы (операторов соответствующих платежных систем). Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем. В случае если инцидент произошел в платежной системе Банка России, в графе 10 раздела 3 Отчета указывается "платежная система Банка России". В иных случаях графа 10 раздела 3 Отчета не заполняется.
17. В случае если в графе 2 раздела 3 Отчета указан код "2.2" или код "2.4" в графе 11 раздела 3 Отчета указываются без пробелов, через запятую (в рублях без десятичных знаков после запятой):
сумма переводов денежных средств, содержащаяся в распоряжениях клиентов, распоряжениях участников платежной системы или распоряжениях клирингового центра;
сумма переводов денежных средств, по которым наступила окончательность перевода денежных средств.
В случае если в графе 2 раздела 3 Отчета указан код "2.3", в графе 11 раздела 3 Отчета указывается сумма переводов денежных средств, содержащаяся в распоряжениях клиентов, распоряжениях участников платежной системы или распоряжениях клирингового центра, в случае наличия таких распоряжений.
В случае если в графе 2 раздела 3 Отчета указан код "2.1", графа 11 раздела 3 Отчета не заполняется.
Пересчет в рубли сумм переводов денежных средств в иностранной валюте осуществляется по официальному курсу соответствующей иностранной валюты по отношению к рублю, установленному Банком России на указанную для данного инцидента в графе 3 раздела 3 Отчета дату выявления отчитывающимся оператором инцидента или дату, в которую отчитывающемуся оператору стало известно об инциденте.
18. В случае если в графе 2 раздела 3 Отчета указан код "2.1", в графе 12 раздела 3 Отчета указывается период времени (в формате "чч.мм", где "чч" - часы, "мм" - минуты), в течение которого услуги по осуществлению переводов денежных средств не предоставлялись. В иных случаях графа 12 раздела 3 Отчета не заполняется.
19. В графе 13 раздела 3 Отчета указывается оценка в денежном выражении (в рублях) убытков <1>, причиненных в результате инцидента, за исключением суммы переводов денежных средств, по которым наступила окончательность перевода денежных средств и которые указаны в графе 11 раздела 3 Отчета.
--------------------------------
<1> Термин "убытки" приводится в пункте 2 статьи 15 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1994, N 32, ст. 3301).
20. В графе 14 раздела 3 Отчета указывается описание действий по устранению последствий инцидента, предпринятых отчитывающимся оператором, банковским платежным агентом (субагентом) и (или) операционным центром, находящимся за пределами Российской Федерации (в текстовом формате).
21. В графе 15 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "15.1", если сведения об инциденте были направлены в правоохранительные органы отчитывающимся оператором;
код "15.2", если сведения об инциденте были направлены в правоохранительные органы банковским платежным агентом (субагентом);
код "15.3", если сведения об инциденте были направлены в правоохранительные органы клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств;
код "15.4", если сведения об инциденте были направлены в правоохранительные органы и не может быть присвоен ни один из кодов, указанных выше в настоящем пункте;
код "15.5", если по факту инцидента правоохранительные органы возбудили уголовное дело, дело об административном правонарушении, при наличии у отчитывающегося оператора соответствующей информации, полученной от правоохранительных органов;
код "15.6", если сведения об инциденте в правоохранительные органы не направлялись;
код "15.7", если отчитывающийся оператор не обладает информацией о направлении сведений об инциденте в правоохранительные органы.
22. В графе 16 раздела 3 Отчета указываются:
наименование банковского платежного агента (субагента), в случае если инцидент был выявлен банковским платежным агентом (субагентом);
наименование операционного центра, находящегося за пределами Российской Федерации, в случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П; наименование операционного центра, находящегося за пределами Российской Федерации, указывается в соответствии с реестром операторов платежных систем;
"инцидент выявлен клиентом", в случае если инцидент был выявлен клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств.
В иных случаях графа 16 раздела 3 Отчета не заполняется.
23. В случае если инцидент был выявлен банковским платежным агентом (субагентом), в графе 17 раздела 3 Отчета указывается код банковского платежного агента (субагента), являющегося юридическим лицом и выявившего в отчетном месяце инцидент, по Общероссийскому классификатору предприятий и организаций (ОКПО). В иных случаях графа 17 раздела 3 Отчета не заполняется.
24. В графе 18 раздела 3 Отчета указывается дата завершения отчитывающимся оператором разбирательства по инциденту (в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год). В случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, в графе 18 раздела 3 Отчета указывается дата завершения операционным центром, находящимся за пределами Российской Федерации, разбирательства по инциденту. В случае если на дату представления Отчета разбирательство по инциденту не завершено отчитывающимся оператором, графа 18 раздела 3 Отчета не заполняется.
25. В графе 19 раздела 3 Отчета указывается идентификатор (код) инцидента в формате "ММГГ.XXXX", где "ММ" - отчетный месяц, "ГГ" - две последние цифры года; "XXXX" - номер строки в разделе 3 Отчета.
26. В разделе 4 Отчета указываются сведения об инцидентах, выявленных в предыдущих отчетных периодах и разбирательство по которым завершено отчитывающимся оператором в отчетном периоде. Строка раздела 4 Отчета заполняется на основе сведений об инциденте, имеющихся у отчитывающегося оператора на дату окончания проведения отчитывающимся оператором разбирательства по данному инциденту, в том числе исходя из наличия новых сведений, выявленных в ходе разбирательства.
27. В графе 2 раздела 4 Отчета указывается идентификатор (код) инцидента, в соответствии с третьими разделами Отчетов, предоставленных отчитывающимся оператором в предыдущих отчетных периодах.
28. В графе 4 раздела 4 Отчета указываются без пробелов, через запятую:
дата завершения отчитывающимся оператором разбирательства по инциденту; в случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, указывается дата завершения операционным центром, находящимся за пределами Российской Федерации, разбирательства по инциденту;
дата возникновения инцидента.
Даты указываются в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год.
29. Графы 3, 5 - 18 раздела 4 Отчета заполняются в соответствии с пунктами 8, 10 - 23 настоящей Методики соответственно.
30. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России N 2851-У.
Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России N 2851-У.
31. Отчет отчитывающегося оператора, являющегося кредитной организацией, принимается территориальным учреждением Банка России, осуществляющим надзор за деятельностью головного офиса кредитной организации.
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Московским ГТУ Банка России.
Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
32. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России N 1546-У.
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России N 1546-У.
При этом средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.
Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам территориальными учреждениями Банка России.
33. В случае если в отчетном периоде отчитывающимся оператором не было выявлено инцидентов и ему не стало известно ни об одном инциденте, разделы 2 и 3 Отчета должны содержать запись об отсутствии инцидентов.
В случае если в отчетном периоде отчитывающимся оператором не было завершено разбирательство ни по одному из инцидентов, выявленных в предыдущих отчетных периодах, раздел 4 Отчета должен содержать запись об отсутствии инцидентов.
34. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.
34.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.
Отчет принимается в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
34.2. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления территориальным учреждением Банка России в адрес отчитывающегося оператора подтверждения о подлинности полученного территориальным учреждением Банка России электронного сообщения.
Если последний день срока предоставления Отчета приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Российской Федерации, то окончание срока предоставления Отчета переносится на ближайший следующий за ним рабочий день.
34.3. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.
34.4. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).
34.5. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.
Исправление данных в Отчете осуществляется в срок не позднее десяти рабочих дней после дня выявления факта недостоверности предоставленных данных Отчета.
Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения.".