Приложение 1. Акт о готовности Клиента к обмену ЭС с Банком России

Приложение 1

к Условиям по защите информации

при обмене электронными сообщениями

при переводе денежных средств

в рамках платежной системы

Банка России

УТВЕРЖДАЮ

(личная подпись, Ф.И.О. руководителя (лица, его замещающего или должностного лица, заключившего Договор от имени Клиента, или лица, уполномоченного доверенностью)

(наименование Клиента)

"__" __________________ г.

АКТ

о готовности Клиента ___________________ (указывается наименование Клиента) к обмену ЭС с Банком России <24>

от "__" ____________ г.

Настоящий акт составлен по результатам проверки готовности к обмену ЭС

с использованием __________________________________________________________

_____________________________________________________________________ <25>.

Комиссия <26> ___________________________________ (указывается наименование

Клиента), созданная на основании ________________ (указывается

наименование, дата и номер распорядительного документа Клиента), в составе:

Руководитель Комиссии

(наименование должности, инициалы, фамилия)

Члены Комиссии:

(наименование должности, инициалы, фамилия)

(наименование должности, инициалы, фамилия)

(наименование должности, инициалы, фамилия)

провела проверку готовности к обмену ЭС с Банком России.

Комиссия установила следующее:

1. Размещение и техническое состояние аппаратных, системных, сетевых и телекоммуникационных средств, а также состояние программного обеспечения автоматизированных(ого) рабочих(его) мест(а) (АРМ) <27> соответствует требованиям Банка России в части информационной безопасности, а именно:

.

2. Используется следующий вариант взаимодействия АС Клиента с АРМ обмена:

.

3. Выполняются следующие меры в части защиты информации:

Для участника сервиса срочного перевода и сервиса несрочного перевода (далее - ССНП) <28>:

N п/п

Меры в части защиты информации

Перечень документов и описаний, отражающих реализацию правил материально-технического обеспечения формирования ЭС и контроля реквизитов ЭС, для участника ССНП

3.1.

Контур формирования ЭС и контур контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть реализованы с использованием разных рабочих мест, разных криптографических ключей и с привлечением отдельных работников для каждого из контуров.

АРМ обмена реализован в выделенном (отдельном) сегменте (группах сегментов) вычислительных сетей с использованием отдельного рабочего места.

Участник ССНП направляет всю необходимую информацию <29>, подтверждающую выполнение указанных мер в части защиты информации, в соответствии с приложением 6 к настоящему акту, в том числе:

-

название владельца и идентификаторы ключей ЭП с указанием их принадлежности к контуру формирования ЭС или контуру контроля реквизитов ЭС;

-

сведения об АРМ, на которых осуществляется обработка защищаемой информации: сетевое имя, IP-адрес (при наличии - выделенный пул IP-адресов), MAC-адрес, соответствующий указанному IP-адресу, принадлежность к контуру формирования или контуру контроля;

-

реквизиты организационно-распорядительных документов участника о назначении операторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена;

-

реквизиты организационно-распорядительных документов участника о назначении администраторов АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена;

-

реквизиты организационно-распорядительных документов участника о назначении администраторов информационной безопасности АРМ контура формирования ЭС, АРМ контура контроля реквизитов ЭС и АРМ обмена.

3.2.

Объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника ССНП должны быть размещены в разных сегментах вычислительных сетей, в том числе реализованных с использованием технологии виртуализации. Способ допустимого информационного взаимодействия между указанными сегментами вычислительных сетей оформляется документально и согласовывается со службой информационной безопасности участников ССНП.

Участник ССНП направляет всю необходимую информацию <30>, подтверждающую выполнение указанных в Условиях по защите информации мер в части защиты информации, в том числе:

-

описание способа информационного взаимодействия между объектами информационной инфраструктуры (сегментами вычислительных сетей) контура формирования ЭС и контура контроля реквизитов ЭС (автоматизированная система учета операций, АРМ контура контроля ЭС, АРМ контура формирования ЭС, АРМ обмена с Банком России, иное);

-

реквизиты оформленного, согласованного со службой информационной безопасности и утвержденного руководством участника документа, описывающего способ и порядок допустимого информационного взаимодействия между сегментами вычислительных сетей, содержащими объекты информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС включая установленные правила фильтрации сетевого трафика (списки контроля доступа) между контуром формирования ЭС и контуром контроля реквизитов ЭС с указанием разрешенных протоколов сетевого, транспортного и прикладного уровней, а также между указанными контурами и иными сегментами локальной вычислительной сети, в том числе явно определяющие способы и правила взаимодействия с внешними сетями (описание данных взаимодействий должно содержать обоснование их необходимости);

-

схему информационного взаимодействия на прикладном уровне между объектами информационной инфраструктуры, предназначенными для формирования, контроля и отправки платежных сообщений по технологическим каналам в Банк России;

-

логическую схему сети с разделением на VLAN, указанием диапазона IP-адресов, масок подсетей, а также телекоммуникационного оборудования, используемого для сегментации сети в части размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника;

-

сведения об оборудовании, используемом для сегментации сети в целях размещения объектов информационной инфраструктуры контура формирования ЭС и контура контроля реквизитов ЭС в информационной инфраструктуре участника (тип, производитель, модель, серийный номер, инвентарный номер);

сведения об оборудовании, используемом для фильтрации сетевого трафика (тип, производитель, модель/версия, серийный номер, инвентарный номер).

3.3.

В контуре формирования ЭС на основе первичного документа в бумажной или электронной форме или входящего ЭС должны осуществляться:

Участник ССНП направляет всю необходимую информацию <31>, подтверждающую выполнение указанных мер в части защиты информации, в том числе:

-

реквизиты документа, согласованного со службой информационной безопасности, описывающего информационное взаимодействие и технологический процесс, в том числе реализацию указанных процедур и мер в части защиты информации;

формирование исходящего ЭС, предназначенного для направления в платежную систему Банка России;

-

технологическую схему и описание технологического процесса формирования ЭС на основе первичного документа, контроля первичного документа и отправки по технологическим каналам в Банк России на каждом этапе, в том числе:

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России;

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре формирования ЭС, при положительном результате контроля реквизитов, указанного в абзаце третьем настоящего подпункта;

-

описание этапа формирования исходящего ЭС;

-

описание этапа контроля реквизитов исходящего ЭС в контуре формирования ЭС с указанием основных контролируемых полей и способов контроля;

-

описание этапа подписания исходящего ЭС в контуре формирования ЭС с описанием механизма разграничения доступа при выполнении операций;

направление исходящего ЭС, предназначенного для направления в платежную систему Банка России, в контур контроля реквизитов ЭС.

-

описание этапа направления исходящего ЭС в контур контроля реквизитов ЭС;

-

описание этапа контроля реквизитов исходящего ЭС в контуре контроля реквизитов ЭС с указанием основных контролируемых полей и способа контроля;

-

указание источника эталонной информации для сравнения и способа взаимодействия;

3.4.

В контуре контроля реквизитов ЭС должны осуществляться:

-

описание этапа контроля на отсутствие дублирования исходящих ЭС с указанием основных контролируемых полей и способа контроля;

контроль реквизитов исходящего ЭС, предназначенного для направления в платежную систему Банка России, на соответствие реквизитам первичного документа в бумажной или электронной форме или входящего ЭС;

-

описание этапа подписания исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, с описанием механизма разграничения доступа при выполнении операций;

-

описание процедуры (порядок, ответственные) шифрования исходящего ЭС;

контроль на отсутствие дублирования исходящих ЭС;

-

описание процедуры (порядок, ответственные) установления защищенного соединения с ТШ КБР (vpn) и отправки готовых (подписанных и зашифрованных) ЭС.

подписание исходящего ЭС, предназначенного для направления в платежную систему Банка России, электронной подписью, применяемой в контуре контроля реквизитов ЭС, при положительном результате контроля реквизитов, указанного в абзаце втором настоящего подпункта.

4. АРМ обмена эксплуатируется ____________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) руководителей подразделения Клиента, ответственных за эксплуатацию АРМ обмена, выполнение требований к защите информации).

5. СКЗИ эксплуатируется ___________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию СКЗИ, выполнение требований к защите информации).

6. АС Клиента эксплуатируется ___________________________________ (указываются полное наименование, адрес подразделения Клиента, номера телефонов, фамилии, имена, отчества (при наличии) ответственных за эксплуатацию АС, выполнение требований к защите информации).

7. Информация о лицах, уполномоченных на направление в Банк России и подписание обращений о приостановлении (возобновлении) обмена ЭС при переводе денежных средств в рамках платежной системы Банка России в случае несоблюдения участником обмена требований к защите информации _______________________________________________

(указывается информация в соответствии с пунктом 4 приложения 3 настоящих Условий).