АКБ «РУССЛАВБАНК» (ЗАО) Дата вступления в силу «08» января 2014 года. Порядок взаимодействия Участников Системы, привлеченного Оператором Системы Расчетного центра и Оператора Системы для обеспечения защиты информации при осуществлении переводов денежных средств в рамках Системы CONTACT®. 1 Протокол изменения документа 1 Дата Номер версии документа 01.10.2012 1 – я версия 14.12.2012 2-я версия Описание Первоначальная версия П.4.1 – изменен порядок представления агрегированной отчетности Участниками: вместо направления отчета на электронный адрес используется функционал «Личного кабинета». П. 4.2 – изменен порядок представления нулевой отчетности Участниками, необходимо направлять нулевые данные. Добавлены пп.4.3 и 4 Редакционные правки по тексту, в т.ч. изменение фирменного написания названия Системы. 3-я версия 08.01.2014 1. П.1 – уточнение - операции в рамках Платежной Системы CONTACT®. Изменена нумерация пунктов. П.3 – дано новое определение инцидента. П.3.3 – уточнение формулировок. П.4 – уточнение требований по взаимодействию. Данный Порядок распространяется на операции, осуществляемые в рамках Платежной системы CONTACT®. Термины, используемые в данном Порядке, имеют значение, изложенное в Правилах Системы, размещаемых на официальном сайте Системе по адресу: www.contact-sys.com. Оператор Системы устанавливает распределение обязанностей по определению порядка обеспечения защиты информации при осуществлении переводов денежных средств в рамках Системы CONTACT® следующим образом: - Оператор Системы самостоятельно определяет порядок обеспечения защиты информации при осуществлении переводов денежных средств при выполнении им функций Расчетного, Операционного и Клирингового центров Системы; - Участники Системы самостоятельно определяют порядок обеспечения защиты информации при осуществлении переводов денежных средств в рамках Системы в части обслуживания клиентов – физических и юридических лиц, в т.ч. банков – корреспондентов; - привлеченный Оператором Системы Расчетный центр самостоятельно определяет порядок обеспечения защиты информации при осуществлении переводов денежных средств при выполнении им функций Расчетного центра Системы. 2. Оператор Системы устанавливает следующие требования к содержанию, форме и периодичности представления информации, направляемой Участниками и привлеченным Расчетным центром Оператору Системы для целей анализа обеспечения в Платежной системе защиты информации при осуществлении переводов денежных средств, а также в целях взаимодействия в случае выявления инцидентов. 3.1. К инцидентам относятся события, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств и (или) условий осуществления (требований к осуществлению) перевода денежных средств, связанных с обеспечением защиты информации, которые установлены Оператором Системы и доведены до сведения Участников, установлены Участниками и доведены ими до клиентов, и которые: - привели к несвоевременности (к нарушению сроков, установленных законодательством РФ, Правилами Систем, договорами, заключаемыми с клиентами) осуществления переводов денежных средств; 3. 2 - привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами; - привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях Участников, распоряжениях Клирингового центра. 3.2. Содержание, форма, периодичность предоставления информации: Содержание 1) о степени выполнения требований к обеспечению защиты информации, в т.ч. о результатах проведенных оценок соответствия 2) о реализации порядка обеспечения защиты информации 3) о выявленных угрозах и уязвимостях в обеспечении защиты информации 4) о выявленных инцидентах, связанных с нарушениями требований к обеспечению защиты информации Форма Периодичность в виде официального письма, включающего, в т.ч. информацию о результатах проведенной самооценки по запросу Оператора Системы 1 раз в два года в виде официального письма в оперативном режиме в части: несанкционированного доступа – сообщение по электронной почте, звонок; компрометации ключей - действия в соответствии с «Инструкцией Системы CONTACT по действиям с ключевой информацией», размещенной в закрытой части при выявлении официального сайта Системы https://contact.russlavbank.com/progcont.nsf. в части вредоносного кода при наличии опасности распространения его последствий по Системе в целом - сообщение по электронной почте, звонок; в части невозможности осуществления переводов денежных средств в течение 3-х часов и более по любым причинам – сообщение по электронной почте, звонок ежемесячно в виде сводного отчета не позднее 6–го рабочего дня месяца, следующего за отчетным 3 4. Оператор Системы определяет следующие требования к взаимодействию в случае выявления инцидентов, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств в рамках Системы CONTACT®: Инциденты: Действия Участника, привлеченного Расчетного Действия Оператора Системы центра 1. При выявлении инцидентов, в т.ч.: 4 1.1. Инцидентов, которые привели к несвоевременности (к нарушению сроков, установленных законодательством РФ, Правилами Систем, договорами, заключаемыми с клиентами) осуществления переводов денежных средств. 1.2. Инцидентов, которые привели или могут привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами. 1.3. Инцидентов, которые привели к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях Участников, распоряжениях Клирингового центра. 2. При выявлении факта компрометации ключевой информации средств криптографической защиты информации, используемых при осуществлении переводов денежных средств. Оперативное направление информации в Департамент расчетов по адресу и телефонам: [email protected], 799-56-27, 287-00-03. А также по адресу: [email protected]. Осуществляются в соответствии с «Инструкцией Системы CONTACT по действиям с ключевой информацией», размещенной в закрытой части официального сайта Системы https://contact.russlavbank.com/progcont.nsf. 3.При обнаружении вредоносного кода или факта 1. Обеспечивают принятие мер, направленных воздействия вредоносного кода. на предотвращение распространения вредоносного кода и устранение последствий воздействия. 2. При необходимости приостанавливают осуществление переводов денежных средств на период устранения последствий заражения вредоносным кодом, а также последствий иных воздействий. 3. Обеспечивают оперативное информирование Оператора Системы по адресу: [email protected]. После получения сообщения от Участников, привлеченного Расчетного центра: - анализирует сообщение; - при необходимости связывается по указанным контактам с Участниками, привлеченным Расчетным центром; - принимает решение о необходимости блокировки Участников в Системе, аннулировании, блокировании переводов, приостановлении расчетов с привлеченным Расчетным центром, иные решения. Принятые решения доводятся до сведения Участников и привлеченного Расчетного центра любым доступным способом: по контактам, указанным в сообщении, по согласованным каналам связи, формированием сообщения на адрес, с которого поступило сообщение и т.д. Блокирует для Участника осуществления переводов в Системе. возможность После получения сообщения от Участников, привлеченного Расчетного центра временно приостанавливает работу Участника в Системе. Приостанавливает расчеты с привлеченным Расчетным центром, также временно приостанавливая работу Участников, осуществляющих расчеты через него. В случае наличия проблем в функционировании Платежной системы осуществляет рассылку по согласованным каналам связи. В случае обнаружении вредоносного кода или факта воздействия вредоносного кода в рамках Платежной 5 системы Оператор информирует Участников, привлеченный Расчетный центр по согласованным каналам связи. 6 Оператор Системы определяет следующие требования к сводному отчету (п.3.2, подпункт 4 настоящего Порядка), т.е. к порядку, форме и срокам информирования Оператора Системы о выявленных Участниками Системы и привлеченным Расчетным центром инцидентах, связанных с нарушениями требований к обеспечению защиты информации, в агрегированном виде: информирование осуществляется ежемесячно не позднее 6-го рабочего дня месяца, следующего за отчетным; отчетным является каждый календарный месяц. Классификация инцидентов указана в таблице пункта 3. 5. 5.1. Отчет предоставляется Участниками с использованием функционала «Личных кабинетов». В «Личном кабинете» необходимо выбрать специальное меню «Отчетность по инцидентам» в разделе «Отчетность». 5.2. Информация об инцидентах направляется Участниками в любом случае, при отсутствии инцидентов необходимо направить отчетность, содержащую нулевые данные, используя функционал «Личного кабинета». 5.3. Привлеченный Расчетный центр направляет отчет по адресу: [email protected]. 5.4. Информация об инцидентах направляется привлеченным Расчетным центром только при ее наличии, отсутствие направленной информации признается отсутствием инцидентов. 5.5. Получаемую информацию Оператор Системы анализирует на предмет обеспечения в платежной системе защиты информации, формулирует при необходимости рекомендации по совершенствованию защиты информации, а также на основании анализа вносит изменения в требования по защите информации. Данная информация доводится до сведения Участников и привлеченного Расчетного центра. Оператор Системы обеспечивает учет и доступность для Участников Системы и привлекаемого Расчетного центра информации: - о выявленных Оператором Системы в Платежной системе инцидентах, связанных с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств; - о методиках анализа и реагирования Оператора Системы на инциденты, связанные с нарушениями требований к обеспечению защиты информации при осуществлении переводов денежных средств. 6. 6.1. Информация о выявленных инцидентах будет направляться Участникам и привлеченному Расчетному центру по согласованным каналам связи ежемесячно при наличии инцидентов, отсутствие направленной информации признается отсутствием инцидентов. 6.2. Сведения о методиках анализа и реагирования на инциденты содержатся в данном документе. Документ размещается на закрытой части сайта Системы по адресу: https://contact.russlavbank.com/progcont.nsf. 7. Методика анализа заключается в сборе, обобщении информации, анализе информации в соответствии требованиям Положения Банка России №382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств», Правил системы CONTACT®, настоящего документа. 7