АКБ «РУССЛАВБАНК» (ЗАО) Дата вступления в силу «08

АКБ «РУССЛАВБАНК» (ЗАО)
Дата вступления в силу «08» января 2014 года.
Порядок взаимодействия Участников Системы, привлеченного Оператором Системы
Расчетного центра и Оператора Системы для обеспечения защиты информации при
осуществлении переводов денежных средств в рамках Системы CONTACT®.
1
Протокол изменения документа
1
Дата
Номер версии
документа
01.10.2012
1 – я версия
14.12.2012
2-я
версия
Описание
Первоначальная версия
П.4.1 – изменен порядок представления агрегированной
отчетности Участниками: вместо направления отчета на
электронный адрес используется функционал «Личного
кабинета».
П. 4.2 – изменен порядок представления нулевой
отчетности Участниками, необходимо направлять нулевые
данные.
Добавлены пп.4.3 и 4
Редакционные правки по тексту, в т.ч. изменение фирменного написания названия
Системы.
3-я версия
08.01.2014
1.
П.1 – уточнение - операции в рамках Платежной Системы CONTACT®.
Изменена нумерация пунктов.
П.3 – дано новое определение инцидента.
П.3.3 – уточнение формулировок.
П.4 – уточнение требований по взаимодействию.
Данный Порядок распространяется на операции, осуществляемые в рамках
Платежной системы CONTACT®. Термины, используемые в данном Порядке,
имеют значение, изложенное в Правилах Системы, размещаемых на официальном
сайте Системе по адресу: www.contact-sys.com.
Оператор Системы устанавливает распределение обязанностей по определению
порядка обеспечения защиты информации при осуществлении переводов денежных
средств в рамках Системы CONTACT® следующим образом:
- Оператор Системы самостоятельно определяет порядок обеспечения защиты информации
при осуществлении переводов денежных средств при выполнении им функций Расчетного,
Операционного и Клирингового центров Системы;
- Участники Системы самостоятельно определяют порядок обеспечения защиты
информации при осуществлении переводов денежных средств в рамках Системы в части
обслуживания клиентов – физических и юридических лиц, в т.ч. банков – корреспондентов;
- привлеченный Оператором Системы Расчетный центр самостоятельно определяет порядок
обеспечения защиты информации при осуществлении переводов денежных средств при
выполнении им функций Расчетного центра Системы.
2.
Оператор Системы устанавливает следующие требования к содержанию, форме и
периодичности представления информации, направляемой Участниками и
привлеченным Расчетным центром Оператору Системы для целей анализа
обеспечения в Платежной системе защиты информации при осуществлении
переводов денежных средств, а также в целях взаимодействия в случае выявления
инцидентов.
3.1. К инцидентам относятся события, связанные с нарушениями требований к обеспечению
защиты информации при осуществлении переводов денежных средств и (или) условий
осуществления (требований к осуществлению) перевода денежных средств, связанных с
обеспечением защиты информации, которые установлены Оператором Системы и доведены до
сведения Участников, установлены Участниками и доведены ими до клиентов, и которые:
- привели к несвоевременности (к нарушению сроков, установленных законодательством
РФ, Правилами Систем, договорами, заключаемыми с клиентами) осуществления переводов
денежных средств;
3.
2
- привели или могут привести к осуществлению переводов денежных средств по
распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
- привели к осуществлению переводов денежных средств с использованием искаженной
информации, содержащейся в распоряжениях клиентов, распоряжениях Участников,
распоряжениях Клирингового центра.
3.2. Содержание, форма, периодичность предоставления информации:
Содержание
1) о степени выполнения требований
к обеспечению защиты информации,
в т.ч. о результатах проведенных
оценок соответствия
2) о реализации порядка обеспечения
защиты информации
3) о выявленных угрозах и
уязвимостях в обеспечении защиты
информации
4) о выявленных инцидентах,
связанных
с
нарушениями
требований к обеспечению защиты
информации
Форма
Периодичность
в виде официального письма, включающего, в т.ч.
информацию о результатах проведенной самооценки
по
запросу
Оператора
Системы 1 раз в
два года
в виде официального письма
в оперативном режиме в части:

несанкционированного доступа – сообщение
по электронной почте, звонок;

компрометации ключей
- действия в
соответствии с «Инструкцией Системы
CONTACT по действиям с ключевой
информацией», размещенной в закрытой части при выявлении
официального
сайта
Системы
https://contact.russlavbank.com/progcont.nsf.

в части вредоносного кода при наличии
опасности распространения его последствий по
Системе в целом - сообщение по электронной
почте, звонок;

в части невозможности осуществления
переводов денежных средств в течение 3-х
часов и более по любым причинам –
сообщение по электронной почте, звонок
ежемесячно в виде сводного отчета
не позднее 6–го
рабочего
дня
месяца,
следующего за
отчетным
3
4.
Оператор Системы определяет следующие требования к взаимодействию в случае выявления инцидентов, связанных с нарушениями
требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках Системы CONTACT®:
Инциденты:
Действия Участника, привлеченного Расчетного Действия Оператора Системы
центра
1. При выявлении инцидентов, в т.ч.:
4
1.1. Инцидентов,
которые
привели
к
несвоевременности (к нарушению сроков,
установленных
законодательством
РФ,
Правилами
Систем,
договорами,
заключаемыми с клиентами) осуществления
переводов денежных средств.
1.2. Инцидентов, которые привели или могут
привести
к
осуществлению
переводов
денежных средств по распоряжению лиц, не
обладающих правом распоряжения этими
денежными средствами.
1.3. Инцидентов,
которые
привели
к
осуществлению переводов денежных средств
с использованием искаженной информации,
содержащейся в распоряжениях клиентов,
распоряжениях Участников, распоряжениях
Клирингового центра.
2. При выявлении факта компрометации ключевой
информации средств криптографической защиты
информации, используемых при осуществлении
переводов денежных средств.
Оперативное
направление
информации
в
Департамент расчетов по адресу и телефонам:
rc@russlavbank.com, 799-56-27, 287-00-03.
А также по адресу: incident@russlavbank.com.
Осуществляются в соответствии с «Инструкцией
Системы CONTACT по действиям с ключевой
информацией», размещенной в закрытой части
официального
сайта
Системы
https://contact.russlavbank.com/progcont.nsf.
3.При обнаружении вредоносного кода или факта
1. Обеспечивают принятие мер, направленных
воздействия вредоносного кода.
на
предотвращение
распространения
вредоносного кода и устранение последствий
воздействия.
2. При
необходимости
приостанавливают
осуществление переводов денежных средств
на период устранения последствий заражения
вредоносным кодом, а также последствий
иных воздействий.
3. Обеспечивают оперативное информирование
Оператора
Системы
по
адресу:
incident@russlavbank.com.
После получения сообщения от Участников,
привлеченного Расчетного центра:
- анализирует сообщение;
- при необходимости связывается по указанным
контактам с Участниками, привлеченным Расчетным
центром;
- принимает решение о необходимости блокировки
Участников в Системе, аннулировании, блокировании
переводов,
приостановлении
расчетов
с
привлеченным Расчетным центром, иные решения.
Принятые решения доводятся до сведения Участников
и привлеченного Расчетного центра любым
доступным способом: по контактам, указанным в
сообщении, по согласованным каналам связи,
формированием сообщения на адрес, с которого
поступило сообщение и т.д.
Блокирует
для
Участника
осуществления переводов в Системе.
возможность
После получения сообщения от Участников,
привлеченного Расчетного центра временно
приостанавливает работу Участника в Системе.
Приостанавливает
расчеты
с
привлеченным
Расчетным центром, также временно приостанавливая
работу Участников, осуществляющих расчеты через
него.
В случае наличия проблем в функционировании
Платежной системы осуществляет рассылку по
согласованным каналам связи.
В случае обнаружении вредоносного кода или факта
воздействия вредоносного кода в рамках Платежной
5
системы
Оператор
информирует
Участников,
привлеченный Расчетный центр по согласованным
каналам связи.
6
Оператор Системы определяет следующие требования к сводному отчету (п.3.2,
подпункт 4 настоящего Порядка), т.е. к порядку, форме и срокам информирования
Оператора Системы о выявленных Участниками Системы и привлеченным
Расчетным центром инцидентах, связанных с нарушениями требований к
обеспечению защиты информации, в агрегированном виде:
 информирование осуществляется ежемесячно не позднее 6-го рабочего дня месяца,
следующего за отчетным;
 отчетным является каждый календарный месяц.
Классификация инцидентов указана в таблице пункта 3.
5.
5.1. Отчет предоставляется Участниками с использованием функционала «Личных
кабинетов». В «Личном кабинете» необходимо выбрать
специальное меню
«Отчетность по инцидентам» в разделе «Отчетность».
5.2. Информация об инцидентах направляется Участниками в любом случае, при отсутствии
инцидентов необходимо направить отчетность, содержащую нулевые данные,
используя функционал «Личного кабинета».
5.3. Привлеченный Расчетный центр направляет отчет по адресу: incident@russlavbank.com.
5.4. Информация об инцидентах направляется привлеченным Расчетным центром только
при ее наличии, отсутствие направленной информации признается отсутствием
инцидентов.
5.5. Получаемую информацию Оператор Системы анализирует на предмет обеспечения в
платежной системе защиты информации, формулирует при необходимости
рекомендации по совершенствованию защиты информации, а также на основании
анализа вносит изменения в требования по защите информации. Данная информация
доводится до сведения Участников и привлеченного Расчетного центра.
Оператор Системы обеспечивает учет и доступность для Участников Системы и
привлекаемого Расчетного центра информации:
- о выявленных Оператором Системы в Платежной системе инцидентах, связанных с
нарушениями требований к обеспечению защиты информации при осуществлении переводов
денежных средств;
- о методиках анализа и реагирования Оператора Системы на инциденты, связанные с
нарушениями требований к обеспечению защиты информации при осуществлении переводов
денежных средств.
6.
6.1. Информация о выявленных инцидентах будет направляться Участникам и
привлеченному Расчетному центру по согласованным каналам связи ежемесячно при
наличии инцидентов, отсутствие направленной информации признается отсутствием
инцидентов.
6.2. Сведения о методиках анализа и реагирования на инциденты содержатся в данном
документе. Документ размещается на закрытой части сайта Системы по адресу:
https://contact.russlavbank.com/progcont.nsf.
7.
Методика анализа заключается в сборе, обобщении информации, анализе
информации в соответствии требованиям Положения Банка России №382-П «О
требованиях к обеспечению защиты информации при осуществлении переводов
денежных средств и о порядке осуществления Банком России контроля за
соблюдением требований к обеспечению защиты информации при осуществлении
переводов денежных средств», Правил системы CONTACT®, настоящего документа.
7