Приложение 1
к Условиям защиты информации
УТВЕРЖДАЮ
(личная подпись, Ф.И.О. руководителя (лица, его замещающего) или должностного лица, заключившего Договор от имени Клиента (Пользователя)
(наименование Клиента (Пользователя)
"__" __________________ г.
АКТ
о готовности Клиента _________ (указывается наименование Клиента (Пользователя) к обмену ЭС (ФС) с Банком России <4>
от "__" ____________ г.
Настоящий акт составлен по результатам проверки готовности к обмену ЭС (ФС) с использованием ______________ ______ ______________ ________________ <5>.
Комиссия <6> ______________ __________ (указывается наименование Клиента (Пользователя), созданная на основании ________________ (указывается наименование, дата и номер распорядительного документа Клиента (Пользователя), в составе:
Руководитель Комиссии
Члены Комиссии: (наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
провела проверку готовности к обмену ЭС (ФС) с Банком России.
Комиссия установила следующее:
1. Выполняются следующие меры в части защиты информации, указанные в Условиях по защите информации <7>:
2. Планируемые сроки реализации мер в части защиты информации, указанных в пунктах 2.2.1, 2.2.2, 3.1.1 и 3.1.2 Условий по защите информации:
(указываются конкретные меры в части защиты информации и планируемые сроки их реализации).
3. Выполняются следующие меры в части защиты информации:
N п/п Меры в части защиты информации Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, для участника сервиса срочного перевода и сервиса несрочного перевода (далее - ССНП)
3.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров. Участник ССНП направляет всю необходимую информацию <8>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 6 к Акту, в том числе:
- название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования или контуру контроля;
- сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования или контуру контроля;
- реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений.
3.2. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП. Участник ССНП направляет всю необходимую информацию <9>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:
- описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений (автоматизированная система учета операций, АРМ контура контроля и формирования, АРМ обмена с Банком России, иное);
- реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;
- логическую схему сети с разделением на VLAN и указанием диапазона IP-адресов, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника;
- сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);
- сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер);
- реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного документа, описывающего установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования электронных сообщений и контуром контроля реквизитов электронных сообщений с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости).
3.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться:
формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;
направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений. Участник ССНП направляет всю необходимую информацию <10>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:
- реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;
- технологическую схему и описание технологического процесса формирования электронных сообщений на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:
- описание этапа формирования исходящего электронного сообщения,
- описание этапа контроля реквизитов исходящего электронного сообщения в контуре формирования с указанием основных контролируемых полей и способов контроля,
- описание этапа подписания исходящего электронного сообщения в контуре формирования с описанием механизма разграничения доступа при выполнении операций,
- описание этапа направления исходящего электронного сообщения в контур контроля реквизитов электронных сообщений,
- описание этапа контроля реквизитов исходящего электронного сообщения в контуре контроля с указанием основных контролируемых полей и способа контроля,
- указание источника эталонной информации для сравнения и способа взаимодействия,
- описание этапа контроля на отсутствие дублирования исходящих электронных сообщений с указанием основных контролируемых полей и способа контроля,
- описание этапа подписания исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, с описанием механизма разграничения доступа при выполнении операций,
- описание процедуры (порядок, ответственные) шифрования исходящего электронного сообщения,
- описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) электронных сообщений.
3.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;
контроль на отсутствие дублирования исходящих электронных сообщений;
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.
4. АРМ обмена эксплуатируется ______________ ______ _____________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента (Пользователя), ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).
5. СКЗИ эксплуатируется ______________ ______ _____________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).
6. АС Клиента (Пользователя) эксплуатируется ______________ _______ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС, выполнение требований к защите информации).
7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС (ФС) при переводе денежных средств в рамках платежной системы Банка России (при оказании услуг по передаче ФС через СПФС) в случае несоблюдения участником обмена требований к защите информации ______________ ______ ______________ ________ (указывается информация в соответствии с пунктом 4 приложения 3 Условий по защите информации).
Заключение
Комиссия считает, что ______________ ______________ (указывается наименование Клиента (Пользователя) готов к осуществлению обмена ЭС (ФС) ______________ ________________ (указывается "при переводе денежных средств в рамках платежной системы Банка России" и (или) "через СПФС" соответственно) с использованием ______________ ______ ______________ ___________________ <11>.
Руководитель Комиссии
Члены Комиссии: (инициалы, фамилия) (подпись, дата)
(инициалы, фамилия) (подпись, дата)
(инициалы, фамилия) (подпись, дата)
(инициалы, фамилия) (подпись, дата)
Приложения:
1. Акт о готовности АРМ обмена к обмену ЭС <12> (составляется в произвольной форме, акт утверждается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
2. Уведомление о назначении администратора АРМ обмена (составляется в произвольной форме с указанием фамилии, инициалов, должности администратора АРМ обмена, номера и даты приказа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
3. Уведомление о назначении АИБ (составляется в произвольной форме с указанием фамилии, инициалов, должности АИБ, номера и даты документа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
4. Уведомление о назначении лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС, уполномоченных лиц <13> (составляется в произвольной форме с указанием фамилии, инициалов, должности пользователя (должностей пользователей), номера и даты документа о назначении, номеров телефонов, для уполномоченных лиц - образцов их подписей, перечня филиалов (в том числе централизованных), от имени которых работает данный пользователь (данные пользователи), уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
5. Документы, отражающие (поясняющие) реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений для участника ССНП, в том числе описание информационного взаимодействия и технологического процесса, а также иные документы, указанные в пункте 3 приложения 1 к Условиям защиты информации (в соответствии с приложением к Положению Банка России от 23 декабря 2020 года N 747-П "О требованиях к защите информации в платежной системе Банка России").
6. Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР (по форме приложения к настоящему приложению).
7. Распорядительный документ Клиента (Пользователя) о проведении проверки готовности к обмену ЭС (ФС) с Банком России.
--------------------------------
<4> По данной форме представляется акт о готовности к обмену ЭС с Банком России при переводе денежных средств в рамках платежной системы Банка России, а также акт о готовности к обмену через СПФС.
<5> Указывается наименование используемых АРМ обмена, СКЗИ.
<6> Комиссия назначается соответствующим распорядительным документом Клиента (Пользователя), подписанным руководителем (лицом, его замещающим).
<7> За исключением мер, срок действия которых не наступил.
<8> Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<9> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<10> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<11> Указывается наименование программных комплексов, используемых для АРМ обмена, наименование СКЗИ.
<12> Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, установленных на АРМ обмена, значения хеш-сумм переданного Банком России программного комплекса, используемых для АРМ обмена, а также значение хеш-суммы самой программы вычисления хеш-сумм.
<13> Клиент (Пользователь) обязан информировать в письменном виде Банк России о назначении и изменении состава лиц, указанных в пунктах 2 - 4 к заключению Акта приложения 1 к Условиям по защите информации, не позднее дня назначения или изменения.
Приложение
к Приложению 1
к Условиям защиты информации
Сведения
об информационной инфраструктуре, предназначенной
для формирования, контроля и направления ЭС в ПС БР
Доменное имя IP-адрес, VLAN MAC-адрес Установленное ПО
АРМ обмена
АРМ контура формирования
АРМ контура контроля
Технологический участок Роль ФИО (основной/замещающий) Идентификатор ключа электронной подписи Реквизиты документа о назначении
АРМ обмена Оператор АРМ
Администратор АРМ
Администратор ИБ
Контур формирования Оператор АРМ
Администратор АРМ
Администратор ИБ
Контур контроля Оператор АРМ
Администратор АРМ
Администратор ИБ