Указание Банка России от 9 июня 2012 г. № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств»

22 июня 2012

1. На основании Федерального закона от 27 июня 2011 года № 161-ФЗ «О национальной платежной системе» (Собрание законодательства Российской Федерации, 2011, № 27, ст. 3872) (далее — Федеральный закон № 161-ФЗ) и решения Совета директоров Банка России (протокол заседания Совета директоров Банка России от 31 мая 2012 года № 10) настоящее Указание устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств (далее — отчетность), сроки предоставления отчетности и методики составления отчетности.

2. Отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения оператором платежных систем, оператором услуг платежной инфраструктуры, оператором по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств»* (далее — оценка соответствия).

3. Отчетность по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» предоставляется операторами услуг платежной инфраструктуры, операторами по переводу денежных средств:

ежемесячно не позднее десятого рабочего дня месяца, следующего за отчетным;

по требованию Банка России — не позднее десяти рабочих дней со дня получения письменного требования Банка России.

4. Форма и методика составления операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» приведены в приложении 1 к настоящему Указанию.

5. Форма и методика составления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» приведены в приложении 2 к настоящему Указанию.

6. Настоящее Указание подлежит официальному опубликованию в «Вестнике Банка России» и вступает в силу с 1 июля 2012 года.

Председатель
Центрального банка
Российской Федерации
С.М. Игнатьев

______________________________

* Справочно: зарегистрировано Министерством юстиции Российской Федерации «_______»_____________2012 года №________(«Вестник Банка России» от_________________2012 года №_________).

Зарегистрировано в Минюсте РФ 14 июня 2012 г.

Регистрационный № 24573

Приложение 1
к Указанию Банка России
от 9 июня 2012 года № 2831-У
«Об отчетности по обеспечению защиты
информации при осуществлении переводов
денежных средств операторов платежных
систем, операторов услуг платежной
инфраструктуры, операторов по переводу
денежных средств»

Код территории по ОКАТОКод оператора платежной системы, оператора услуг платежной инфраструктуры, оператора по переводу денежных средств
по ОКПОрегистрационный номерБИК
            

Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств

по состоянию на «___»______________г.

Наименование______________________________________________________

Почтовый адрес_____________________________________________________

Код формы по ОКУД 0403202

На нерегулярной основе

IВид деятельности   
IIРегистрационный номер оператора платежной системы   
IIIПредоставление услуг платежной инфраструктуры   
IVУчастие в платежных системах   
Номер строкиВид сведенийСодержание
123
Сведения о выполнении требований к обеспечению защиты информации при осуществлении переводов денежных средств
1Показатель *   
2Показатель *   
3Итоговый показатель *   
Сведения об оценке выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств
4Проведение оценки выполнения требований к обеспечению защиты информации при осуществлении переводов денежных средств   

Руководитель              _________________ _____________________________

(заместитель руководителя) (личная подпись)     (инициалы, фамилия)

М.П.

Исполнитель               _________________ _____________________________

                          (личная подпись)       (инициалы, фамилия)

Номер телефона:

Методика составления отчетности по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств»

1. Отчетность по форме 0403202 «Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее для целей настоящей Методики — Отчет) содержит результаты проведенной оператором платежных систем, оператором услуг платежной инфраструктуры, оператором по переводу денежных средств (далее для целей настоящей Методики — отчитывающийся оператор) оценки соответствия.

2. В заголовочной части Отчета указывается:

в графе «Код территории по ОКАТО» — код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);

в графе «по ОКПО» — код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);

в графе «регистрационный номер» — регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;

в графе «БИК» отчитывающимся оператором, являющимся кредитной организацией или Государственной корпорацией «Банк развития и внешнеэкономической деятельности (Внешэкономбанк)» (далее — Внешэкономбанк), — банковский идентификационный код (БИК) по Справочнику банковских идентификационных кодов участников расчетов на территории Российской Федерации (Справочник БИК России); в случае если отчитывающийся оператор не является кредитной организацией или Внешэкономбанком, данная графа не заполняется;

в строке «Наименование» — наименование отчитывающегося оператора; наименование оператора платежной системы, оператора услуг платежной инфраструктуры указывается в соответствии с реестром операторов платежных систем; в случае если отчитывающийся оператор является только оператором по переводу денежных средств, в графе «Наименование» указывается сокращенное фирменное наименование кредитной организации;

в строке «Почтовый адрес» — адрес фактического места нахождения отчитывающегося оператора.

3. В строках I — IV указываются сведения о том, каким субъектом национальной платежной системы в соответствии с Федеральным законом № 161-ФЗ является отчитывающийся оператор.

4. В строке I без пробелов через запятую указываются коды «ОПДС», «ОПС», «ОЦ», «КЦ» и (или) «РЦ», соответствующие тому, каким субъектом национальной платежной системы в соответствии с Федеральным законом № 161-ФЗ является отчитывающийся оператор.

Код «ОПДС» указывается, если отчитывающийся оператор является оператором по переводу денежных средств. Код «ОПС» указывается, если отчитывающийся оператор является оператором платежной системы. Код «ОЦ» указывается, если отчитывающийся оператор является операционным центром. Код «КЦ» указывается, если отчитывающийся оператор является клиринговым центром. Код «РЦ» указывается, если отчитывающийся оператор является расчетным центром.

5. В случае если отчитывающийся оператор является оператором платежной системы, в строке II указывается регистрационный номер оператора платежной системы. В иных случаях данная графа не заполняется. Регистрационный номер оператора платежной системы указывается в соответствии с реестром операторов платежных систем.

6. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в строке III указываются без пробелов через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.

7. В случае если отчитывающийся оператор является оператором по переводу денежных средств и одновременно участником платежных систем, в строке IV указываются без пробелов через запятую регистрационные номера операторов платежных систем, участником которых является оператор по переводу денежных средств. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.

8. В строках 1 — 3 указываются сведения о выполнении отчитывающимся оператором требований к обеспечению защиты информации при осуществлении переводов денежных средств.

8.1. В графе 3 строки 1 указывается значение обобщающего показателя *, порядок расчета которого определен в приложении 1 к Положению Банка России от 9 июня 2012 года № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — Положение Банка России № 382-П).

8.2. В графе 3 строки 2 указывается значение обобщающего показателя *, порядок расчета которого определен в приложении 1 к Положению Банка России № 382-П.

8.3. В графе 3 строки 3 указывается значение итогового показателя *, порядок расчета которого определен в приложении 1 к Положению Банка России № 382-П.

8.4. Числовые значения обобщающих показателей * и итогового показателя * указываются с точностью до двух знаков после запятой.

8.5. Итоговый показатель * равен наименьшему из значений обобщающих показателей * и *.

9. В строке 4 указываются сведения об осуществлении оценки соответствия самостоятельно отчитывающимся оператором или сторонней организацией на договорной основе. Если оценка соответствия была проведена отчитывающимся оператором, то в графе 3 строки 4 ставится код «С». Если оценка соответствия была проведена сторонней организацией на договорной основе, то в графе 3 строки 4 указывается наименование сторонней организации, которое должно точно соответствовать ее регистрационным данным, и без пробелов через запятую — код сторонней организации по Общероссийскому классификатору предприятий и организаций (ОКПО).

10. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России от 16 января 2004 года № 1375-У «О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской Федерации», зарегистрированным Министерством юстиции Российской Федерации 10 февраля 2004 года № 5534, 30 марта 2005 года № 6458, 19 января 2006 года № 7379, 13 мая 2008 года № 11689, 24 июня 2009 года № 14129, 9 декабря 2009 года № 15468, 11 апреля 2011 года № 20450 («Вестник Банка России» от 18 февраля 2004 года № 14, от 6 апреля 2005 года № 18, от 25 января 2006 года № 3, от 21 мая 2008 года № 24, от 1 июля 2009 года № 39, от 16 декабря 2009 года № 72, от 20 апреля 2011 года № 21), (далее — Указание Банка России № 1375-У).

Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России № 1375-У.

11. Отчет отчитывающегося оператора, являющегося кредитной организацией, принимается территориальным учреждением Банка России, осуществляющим надзор за деятельностью головного офиса кредитной организации.

Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Московским ГТУ Банка России.

Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

12. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России от 24 января 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации», зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года № 6353, 28 ноября 2007 года № 10558 («Вестник Банка России» от 2 марта 2005 года № 12, от 5 декабря 2007 года № 67), (далее — Указание Банка России № 1546-У).

Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России № 1546-У.

При этом средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.

Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам территориальными учреждениями Банка России.

13. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.

13.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.

Отчет принимается:

до 1 июля 2013 года — на бумажном носителе в экспедицию территориального учреждения Банка России;

с 1 июля 2013 года — в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

13.2. При предоставлении Отчета на бумажном носителе дополнительно предоставляется Отчет в электронном виде на машинном носителе (дискеты, flash-память).

Данные Отчета, предоставляемого отчитывающимся оператором в электронном виде, должны быть идентичны данным Отчета, предоставляемого отчитывающимся оператором на бумажном носителе.

Отчет отчитывающегося оператора, предоставляемый в территориальное учреждение Банка России на бумажном носителе, подписывается руководителем организации либо его заместителем, уполномоченным подписывать отчетность, и исполнителем.

13.3. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления территориальным учреждением Банка России в адрес отчитывающегося оператора подтверждения о подлинности полученного территориальным учреждением Банка России электронного сообщения.

Датой предоставления Отчета на бумажном носителе является дата его приема экспедицией территориального учреждения Банка России.

Если последний день срока предоставления Отчета приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Российской Федерации, то окончание срока предоставления Отчета переносится на ближайший следующий за ним рабочий день.

13.4. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.

13.5. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).

13.6. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.

Исправление данных в Отчете осуществляется в срок не позднее десяти рабочих дней после дня выявления факта недостоверности предоставленных данных Отчета.

Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения (в случае предоставления Отчета в виде электронного сообщения) или подписанными лицами, перечисленными в подпункте 13.2 настоящего пункта (в случае предоставления Отчета на бумажном носителе).

Приложение 2
к Указанию Банка России
от 9 июня 2012 г. № 2831-У
«Об отчетности по обеспечению защиты
информации при осуществлении переводов
денежных средств операторов платежных
систем, операторов услуг платежной
инфраструктуры, операторов по переводу
денежных средств»

Код территории по ОКАТОКод оператора услуг платежной инфраструктуры, оператора по переводу денежных средств
по ОКПОрегистрационный номерБИК
            

Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств
по состоянию на «__»______________г.

Наименование_____________________________________________________

Почтовый адрес____________________________________________________

Код формы по ОКУД 0403203

Месячная

Количество инцидентов, (единицы)_______________________________________

Номер строкиДата выявления инцидентаНаименование банковского платежного агента (субагента)Код банковского платежного агента (субагента) по ОКПОРегистрационные номера операторов платежных системПоследствия инцидентаОбъекты информационной инфраструктурыОписание предпринятых действий по устранению последствий инцидентаФакт обращения в правоохранительные органы
123456789
                           

Руководитель              _________________ _____________________________

(заместитель руководителя) (личная подпись)     (инициалы, фамилия)

М.П.

Исполнитель               _________________ _____________________________

                          (личная подпись)       (инициалы, фамилия)

Номер телефона:

Методика составления отчетности по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств»

1. Отчетность по форме 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств» (далее — для целей настоящей Методики — Отчет) содержит сведения о выявлении оператором услуг платежной инфраструктуры, оператором по переводу денежных средств (далее для целей настоящей Методики — отчитывающийся оператор) инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, последствием которых являются:

воздействие программного кода, приводящее к нарушению штатного функционирования средства вычислительной техники (далее — вредоносный код), результатом которого является нарушение предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;

реализация воздействий на автоматизированные системы, программное обеспечение, средства вычислительной техники, телекоммуникационное оборудование, эксплуатация которых обеспечивается оператором по переводу денежных средств, оператором услуг платежной инфраструктуры, банковским платежным агентом (субагентом), и используемых для осуществления переводов денежных средств (далее — объекты информационной инфраструктуры), с целью создания условий невозможности предоставления услуг по переводу денежных средств или несвоевременности осуществления переводов денежных средств;

нарушение конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами;

компрометация ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;

осуществление переводов денежных средств лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами операторов по переводу денежных средств права распоряжения денежными средствами или вследствие компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств;

воздействие вредоносного кода, приводящее к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра;

невозможность предоставления услуг по переводу денежных средств в платежной системе в течение трех часов и более.

2. Оператор по переводу денежных средств включает в Отчет сведения о выявленных банковскими платежными агентами, привлеченными к деятельности по оказанию услуг по переводу денежных средств оператором по переводу денежных средств, и банковскими платежными субагентами, привлеченными указанными банковскими платежными агентами, инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств.

3. Отчет, предоставляемый отчитывающимся оператором по письменному требованию Банка России, составляется на дату, указанную в письменном требовании Банка России.

4. В заголовочной части Отчета указывается:

в графе «Код территории по ОКАТО» — код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);

в графе «по ОКПО» — код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);

в графе «регистрационный номер» — регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;

в графе «БИК» отчитывающимся оператором, являющимся кредитной организацией или Внешэкономбанком, — банковский идентификационный код (БИК) по Справочнику банковских идентификационных кодов участников расчетов на территории Российской Федерации (Справочник БИК России); в случае если отчитывающийся оператор не является кредитной организацией или Внешэкономбанком, данная графа не заполняется;

в строке «Наименование» указывается наименование отчитывающегося оператора; наименование оператора услуг платежной инфраструктуры указывается в соответствии с реестром операторов платежных систем; в случае если отчитывающийся оператор является только оператором по переводу денежных средств, в строке «Наименование» указывается сокращенное фирменное наименование кредитной организации;

в строке «Почтовый адрес» — адрес фактического места нахождения отчитывающегося оператора.

5. В содержательной части Отчета в строке «Количество инцидентов» указывается общее количество инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных отчитывающимся оператором за отчетный месяц. В случае если отчитывающийся оператор является оператором по переводу денежных средств, в общем количестве инцидентов также учитывается количество инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, выявленных банковскими платежными агентами, привлеченными к деятельности по оказанию услуг по переводу денежных средств оператором по переводу денежных средств, и банковскими платежными субагентами, привлеченными указанными банковскими платежными агентами.

6. Отчитывающийся оператор заполняет Отчет на основе сведений об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств. Количество строк Отчета равно числу, указанному в строке «Количество инцидентов».

7. В графе 2 указывается дата выявления инцидента, связанного с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (в формате «дд.мм.гггг», где «дд» — день, «мм» — месяц, «гггг» — год).

8. В случае если отчитывающийся оператор является оператором по переводу денежных средств, в графе 3 указывается наименование банковского платежного агента (субагента), выявившего в отчетном месяце инцидент, связанный с нарушением требований к защите информации при осуществлении переводов денежных средств.

В случае выявления инцидента, связанного с нарушением требований к защите информации при осуществлении переводов денежных средств, оператором по переводу денежных средств самостоятельно, графа 3 не заполняется.

В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, графа 3 не заполняется.

9. В случае если отчитывающийся оператор является оператором по переводу денежных средств, в графе 4 указывается код банковского платежного агента (субагента), являющегося юридическим лицом и выявившего в отчетном месяце инцидент, связанный с нарушением требований к защите информации при осуществлении переводов денежных средств по Общероссийскому классификатору предприятий и организаций (ОКПО).

В случае выявления инцидента, связанного с нарушением требований к защите информации при осуществлении переводов денежных средств, оператором по переводу денежных средств самостоятельно или банковским платежным агентом (субагентом), не являющимся юридическим лицом, графа 4 не заполняется.

В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, графа 4 не заполняется.

10. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в графе 5 указываются без пробелов через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем. В случае если отчитывающийся оператор является оператором по переводу денежных средств, графа 5 не заполняется.

11. В графе 6 указываются последствия инцидента, связанного с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с пунктом 1 настоящей Методики (в текстовом формате). Кроме того, в графе 6, по возможности, указывается общая сумма переводов денежных средств, осуществленных лицами, не обладающими правом распоряжения этими денежными средствами, вследствие нарушения конфиденциальности информации, необходимой для удостоверения клиентами права распоряжения денежными средствами, или переводов денежных средств, осуществленных с использованием искаженной информации, содержащейся в распоряжениях клиентов, оформленных в рамках применяемой формы безналичных расчетов, распоряжениях участников платежной системы, распоряжениях платежного клирингового центра.

12. В графе 7 указываются объекты информационной инфраструктуры из числа указанных в абзаце девятом пункта 2.1 Положения Банка России № 382-П, на которых был выявлен инцидент, связанный с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств (в текстовом формате).

13. В графе 8 указывается описание действий по устранению последствий инцидента, связанного с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, предпринятых отчитывающимся оператором и (или) банковским платежным агентом (субагентом) (в текстовом формате).

14. В графе 9 указывается код «ДА», если сведения об инциденте, связанном с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, были направлены в правоохранительные органы, или код «НЕТ», если сведения об инциденте, связанном с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в правоохранительные органы не направлялись.

15. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России № 1375-У.

Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России № 1375-У.

16. Отчет отчитывающегося оператора, являющегося кредитной организацией, принимается территориальным учреждением Банка России, осуществляющим надзор за деятельностью головного офиса кредитной организации.

Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Московским ГТУ Банка России.

Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

17. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России № 1546-У.

Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России № 1546-У.

При этом средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.

Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам территориальными учреждениями Банка России.

18. В случае если за отчетный период не выявлено ни одного инцидента, связанного с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, отчитывающийся оператор направляет в Банк России сообщение об отсутствии данных по форме отчетности 0403203 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств».

19. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.

19.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.

Отчет принимается:

до 1 июля 2013 года — на бумажном носителе в экспедицию территориального учреждения Банка России;

с 1 июля 2013 года — в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.

19.2. При предоставлении Отчета на бумажном носителе дополнительно предоставляется Отчет в электронном виде на машинном носителе (дискеты, flash-память).

Данные Отчета, предоставляемого отчитывающимся оператором в электронном виде, должны быть идентичны данным Отчета, предоставляемого отчитывающимся оператором на бумажном носителе.

Отчет отчитывающегося оператора, предоставляемый в территориальное учреждение Банка России на бумажном носителе, подписывается руководителем организации либо его заместителем, уполномоченным подписывать отчетность, и исполнителем.

19.3. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления территориальным учреждением Банка России в адрес отчитывающегося оператора подтверждения о подлинности полученного территориальным учреждением Банка России электронного сообщения.

Датой предоставления Отчета на бумажном носителе является дата его приема экспедицией территориального учреждения Банка России.

Если последний день срока предоставления Отчета приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Российской Федерации, то окончание срока предоставления Отчета переносится на ближайший следующий за ним рабочий день.

19.4. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.

19.5. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).

19.6. Сообщение об отсутствии данных должно содержать реквизиты заголовочной части Отчета и в содержательной части — запись об отсутствии данных.

19.7. Сообщение об отсутствии данных снабжается кодом аутентификации (в случае его предоставления в виде электронного сообщения), или подписывается лицами, перечисленными в подпункте 19.2 настоящего пункта (в случае предоставления Отчета на бумажном носителе), и направляется в территориальное учреждение Банка России в срок, предусмотренный для предоставления Отчета.

19.8. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.

Исправление данных в Отчете осуществляется в отчетном месяце, в котором были выявлены факты недостоверности предоставленных данных Отчета, в течение следующего рабочего дня после выявления факта недостоверности данных Отчета за все отчетные месяцы, в которых имело место нарушение методики его составления.

Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения (в случае предоставления Отчета в виде электронного сообщения) или подписанными лицами, перечисленными в подпункте 19.2 настоящего пункта (в случае предоставления Отчета на бумажном носителе).

Обзор документа


Установлены формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств 3 категорий операторов: платежных систем; услуг платежной инфраструктуры; по переводу денежных средств. Также определены сроки предоставления и методики составления.

Сведения о выполнении операторами требований к обеспечению защиты информации подаются по форме 0403202. Она предоставляется не позднее 30 рабочих дней со дня завершения оценки реализации данных требований.

Сведения о выявлении инцидентов, связанных с нарушением требований, подаются по форме 0403203. Она предоставляется на постоянной основе ежемесячно не позднее 10 рабочего дня месяца, следующего за отчетным, по требованию ЦБР — не позднее 10 рабочих дней.

Указание вступает в силу с 1 июля 2012 г.

Ваша реакция?
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
+1
0
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x