Приложение 1
к Условиям защиты информации
УТВЕРЖДАЮ
(личная подпись, Ф.И.О. руководителя (лица, его замещающего) или должностного лица, заключившего Договор от имени Клиента (Пользователя)
(наименование Клиента (Пользователя)
"__" __________________ г.
АКТ
о готовности Клиента _________ (указывается наименование Клиента (Пользователя) к обмену ЭС (ФС) с Банком России <8>
от "__" ____________ г.
Настоящий акт составлен по результатам проверки готовности к обмену ЭС
(ФС) с использованием ______________ ______ ______________ ______________
______________ ______ ______________ ____________________ ______ <9>.
Комиссия <10> ______________ _______ (указывается наименование Клиента
(Пользователя), созданная на основании ______________ ________ (указывается
наименование, дата и номер распорядительного документа Клиента
(Пользователя), в составе:
Руководитель Комиссии
(наименование должности, инициалы, фамилия)
Члены Комиссии:
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
(наименование должности, инициалы, фамилия)
провела проверку готовности к обмену ЭС (ФС) с Банком России.
Комиссия установила следующее:
1. Выполняются следующие меры в части защиты информации, указанные в Условиях по защите информации <11>:
2. Планируемые сроки реализации мер в части защиты информации, указанных в пунктах 2.2.1, 2.2.2, 3.1.1 и 3.1.2 Условий по защите информации:
(указываются конкретные меры в части защиты информации и планируемые сроки их реализации).
3. Выполняются следующие меры в части защиты информации:
N п/п Меры в части защиты информации Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений, для участника сервиса срочного перевода и сервиса несрочного перевода (далее - ССНП)
3.1. Контур формирования электронных сообщений и контур контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров. Участник ССНП направляет всю необходимую информацию <12>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 6 к Акту, в том числе:
- название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования или контуру контроля;
- сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования или контуру контроля;
- реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений.
3.2. Объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП. Участник ССНП направляет всю необходимую информацию <13>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:
- описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений (автоматизированная система учета операций, АРМ контура контроля и формирования, АРМ обмена с Банком России, иное);
- реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений;
- схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;
- логическую схему сети с разделением на VLAN и указанием диапазона IP-адресов, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника;
- сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования электронных сообщений и контура контроля реквизитов электронных сообщений в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);
- сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер);
- реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного документа, описывающего установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования электронных сообщений и контуром контроля реквизитов электронных сообщений с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости).
3.3. В контуре формирования электронных сообщений на основе первичного документа в бумажной или электронной форме или входящего электронного сообщения должны осуществляться: Участник ССНП направляет всю необходимую информацию <14>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:
- реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;
формирование исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
- технологическую схему и описание технологического процесса формирования электронных сообщений на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России;
- описание этапа формирования исходящего электронного сообщения,
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;
- описание этапа контроля реквизитов исходящего электронного сообщения в контуре формирования с указанием основных контролируемых полей и способов контроля,
- описание этапа подписания исходящего электронного сообщения в контуре формирования с описанием механизма разграничения доступа при выполнении операций,
- описание этапа направления исходящего электронного сообщения в контур контроля реквизитов электронных сообщений,
направление исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов электронных сообщений.
- описание этапа контроля реквизитов исходящего электронного сообщения в контуре контроля с указанием основных контролируемых полей и способа контроля,
3.4. В контуре контроля реквизитов электронных сообщений должны осуществляться:
- указание источника эталонной информации для сравнения и способа взаимодействия,
контроль реквизитов исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего электронного сообщения;
- описание этапа контроля на отсутствие дублирования исходящих электронных сообщений с указанием основных контролируемых полей и способа контроля,
- описание этапа подписания исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, с описанием механизма разграничения доступа при выполнении операций,
контроль на отсутствие дублирования исходящих электронных сообщений;
подписание исходящего электронного сообщения, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов электронных сообщений, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.
- описание процедуры (порядок, ответственные) шифрования исходящего электронного сообщения,
- описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) электронных сообщений.
4. АРМ обмена эксплуатируется ______________ _________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента (Пользователя), ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).
5. СКЗИ эксплуатируется ______________ _________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).
6. АС Клиента (Пользователя) эксплуатируется ______________ _________ (указываются полное наименование, адрес подразделения Клиента (Пользователя), номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС, выполнение требований к защите информации).
7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС (ФС) при переводе денежных средств в рамках платежной системы Банка России (при оказании услуг по передаче ФС через СПФС) в случае несоблюдения участником обмена требований к защите информации ______________ _________ (указывается информация в соответствии с пунктом 4 приложения 3 Условий по защите информации).
Заключение
Комиссия считает, что ______________ _________ (указывается наименование Клиента (Пользователя) готов к осуществлению обмена ЭС (ФС) ______________ _________ (указывается "при переводе денежных средств в рамках платежной системы Банка России" и (или) "через СПФС" соответственно) с использованием ______________ ______ _____________ <15>.
Руководитель Комиссии
(инициалы, фамилия) (подпись, дата)
Члены Комиссии:
(инициалы, фамилия) (подпись, дата)
(инициалы, фамилия) (подпись, дата)
(инициалы, фамилия) (подпись, дата)
--------------------------------
<8> По данной форме представляется акт о готовности к обмену ЭС с Банком России при переводе денежных средств в рамках платежной системы Банка России, а также акт о готовности к обмену через СПФС.
<9> Указывается наименование используемых АРМ обмена, СКЗИ.
<10> Комиссия назначается соответствующим распорядительным документом Клиента (Пользователя), подписанным руководителем (лицом, его замещающим).
<11> За исключением мер, срок действия которых не наступил.
<12> Все документы, подтверждающие выполнение указанных мер, представляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<13> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<14> Все документы, подтверждающие выполнение указанных мер, предоставляются в виде электронного документа и скан-копий с утвержденного оригинала (в составе приложения 5 к Акту о готовности).
<15> Указывается наименование программных комплексов, используемых для АРМ обмена, наименование СКЗИ.
Приложения:
1. Акт о готовности АРМ обмена к обмену ЭС <16> (составляется в произвольной форме, акт утверждается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
--------------------------------
<16> Акт содержит значения хеш-сумм модулей программного обеспечения СКЗИ, установленных на АРМ обмена, значения хеш-сумм переданного Банком России программного комплекса, используемых для АРМ обмена, а также значение хеш-суммы самой программы вычисления хеш-сумм.
2. Уведомление о назначении администратора АРМ обмена (составляется в произвольной форме с указанием фамилии, инициалов, должности администратора АРМ обмена, номера и даты приказа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
3. Уведомление о назначении АИБ (составляется в произвольной форме с указанием фамилии, инициалов, должности АИБ, номера и даты документа о назначении, номера телефона, уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
4. Уведомление о назначении лиц, допущенных к работе с СКЗИ, - пользователей криптографических ключей, АИБ, АКС, уполномоченных лиц <17> (составляется в произвольной форме с указанием фамилии, инициалов, должности пользователя (должностей пользователей), номера и даты документа о назначении, номеров телефонов, для уполномоченных лиц - образцов их подписей, перечня филиалов (в том числе централизованных), от имени которых работает данный пользователь (данные пользователи), уведомление подписывается руководителем Клиента, Пользователя (лицом, его замещающим) или должностным лицом, заключившим Договор от имени Клиента (Пользователя).
--------------------------------
<17> Клиент (Пользователь) обязан информировать в письменном виде Банк России о назначении и изменении состава лиц, указанных в пунктах 2 - 4 к заключению Акта приложения 1 к Условиям по защите информации, не позднее дня назначения или изменения.
5. Документы, отражающие (поясняющие) реализацию правил материально-технического обеспечения формирования электронных сообщений и контроля реквизитов электронных сообщений для участника ССНП, в том числе описание информационного взаимодействия и технологического процесса, а также иные документы, указанные в пункте 3 приложения 1 к Условиям защиты информации (в соответствии с приложением к Положению Банка России от 9 января 2019 года N 672-П "О требованиях к защите информации в платежной системе Банка России").
6. Сведения об информационной инфраструктуре, предназначенной для формирования, контроля и направления ЭС в ПС БР (по форме приложения к настоящему приложению).
7. Распорядительный документ Клиента (Пользователя) о проведении проверки готовности к обмену ЭС (ФС) с Банком России.