О ФОРМЕ ДОГОВОРА МЕЖДУ КРЕДИТНОЙ ОРГАНИЗАЦИЕЙ И БАНКОМ РОССИИ О ПЕРЕДАЧЕ-ПРИЕМЕ ОТЧЕТНОСТИ В ВИДЕ ЭЛЕКТРОННЫХ СООБЩЕНИЙ ПИСЬМО ЦЕНТРАЛЬНЫЙ БАНК РФ 23 марта 2005 г. N 45-Т (Д) В целях обеспечения представления кредитными организациями в Банк России отчетности, предусмотренной Указанием Банка России от 16 января 2004 года N 1376-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации" (с изменениями), зарегистрированным Министерством юстиции Российской Федерации 23 января 2004 года, N 5488, 12 августа 2004 года, N 5970, 13 сентября 2004 года, N 6018, 22 сентября 2004 года, N 6039 ("Вестник Банка России" от 12 февраля 2004 года N 12-13, от 19 августа 2004 года N 50, от 17 сентября 2004 года N 56, от 29 сентября 2004 года N 58) (далее - Указание Банка России от 16 января 2004 года N 1376-У), в виде электронных сообщений, снабженных кодом аутентификации, в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года, N 6353 ("Вестник Банка России" от 2 марта 2005 года N 12) (далее - Указание от 24 января 2005 года N 1546-У), структурные подразделения Банка России заключают договоры между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений. Форма договора прилагается. А.В.УЛЮКАЕВ 23 марта 2005 г. N 45-Т Приложение к письму Банка России от 23 марта 2005 года N 45-Т ДОГОВОР МЕЖДУ КРЕДИТНОЙ ОРГАНИЗАЦИЕЙ И БАНКОМ РОССИИ О ПЕРЕДАЧЕ-ПРИЕМЕ ОТЧЕТНОСТИ В ВИДЕ ЭЛЕКТРОННЫХ СООБЩЕНИЙ г. ------------- "--" ---------- ---- г. Центральный банк Российской Федерации в лице -------------- (Ф.И.О., должность лица и наименование структурного подразделения Банка России), действующего на основании доверенности от "--" ------- N -----, с одной стороны, и --------- ------ (полное наименование кредитной организации (ее филиала)), в лице --------------------- (Ф.И.О. и должность лица), действующего на основании -------- (Устава/доверенности от ---- N --), с другой стороны, в дальнейшем совместно именуемые "Стороны", заключили настоящий Договор о нижеследующем: 1. Предмет Договора 1.1. Настоящий Договор устанавливает правила передачи-приема отчетности при ее представлении кредитной организацией ------------- (полное наименование кредитной организации (ее филиала)) (далее - кредитная организация) в ------------------ (полное наименование структурного подразделения Банка России) (далее - структурное подразделение Банка России) в виде электронных сообщений (ЭС), снабженных кодом аутентификации (КА), и обязательства Сторон по обеспечению информационной безопасности при передаче-приеме отчетности. 1.2. Стороны признают, что выполнение условий настоящего Договора является достаточным для обеспечения представления кредитной организацией и приема структурным подразделением Банка России в электронном виде отчетности, предусмотренной Указанием Банка России от 16 января 2004 года N 1376-У. 2. Общие положения 2.1. В Договоре используются понятия и сокращения, приведенные в пункте 1.2 Указания Банка России от 24 января 2005 года N 1546-У, а также следующие понятия: автоматизированное рабочее место передачи ЭС (далее - АРМ передачи ЭС) - комплекс программных и аппаратных средств, используемых кредитной организацией для передачи ОЭС в структурное подразделение Банка России и приема ИЭС структурного подразделения Банка России; автоматизированное рабочее место приема ЭС (далее - АРМ приема ЭС) - комплекс программных и аппаратных средств, используемых структурным подразделением Банка России для приема ОЭС кредитной организации и передачи ИЭС структурного подразделения Банка России кредитной организации; администратор АРМ передачи ЭС - уполномоченное лицо, назначенное кредитной организацией для организации передачи ЭС с использованием АРМ передачи ЭС и взаимодействия со структурным подразделением Банка России по вопросам передачи ЭС; публичная часть ключа (идентификатора) КА (далее - открытый ключ КА) - данные, предназначенные для аутентификации ЭС получателем. Для выполнения процедуры аутентификации допускается также использование открытого ключа КА в виде сертификата ключа КА; секретная часть ключа (идентификатора) КА (далее - секретный ключ КА) - данные, предназначенные для создания КА отправителем; компрометация секретного ключа КА - событие, определенное владельцем ключа КА как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА; пользователь ключа КА - лицо, назначенное владельцем ключа КА и уполномоченное им использовать ключ КА от имени владельца ключа КА; регистрационный центр - структурное подразделение Банка России, выполняющее функции регистрации ключей КА или сертификатов ключей КА и управления ключами КА и ключами шифрования кредитной организации и структурных подразделений Банка России; регистрационная карточка ключа КА кредитной организации или сертификата ключа КА (далее - регистрационная карточка) - документ, содержащий распечатку открытого ключа КА кредитной организации в шестнадцатеричной системе счисления, наименование кредитной организации, иные идентифицирующие кредитную организацию реквизиты, подписанный руководителем и главным бухгалтером кредитной организации и заверенный оттиском печати; сертификат ключа КА - совокупность данных, содержащая открытый ключ КА и иную идентифицирующую владельца ключа КА информацию, снабженная КА регистрационного центра; средства шифрования - аппаратные, программные, программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи; согласительная комиссия - комиссия, создаваемая Сторонами для рассмотрения спорных вопросов при передаче-приеме ОЭС. 2.2. В соответствии с настоящим Договором Стороны приобретают права и исполняют обязанности в качестве участников передачи-приема ЭС. 3. Условия участия в передаче-приеме ЭС 3.1. Для участия в передаче-приеме ЭС кредитная организация выполняет следующие действия: назначает лиц, ответственных за передачу ОЭС в структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС кредитной организации и пользователей ключа КА; самостоятельно комплектует АРМ передачи ЭС необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами аутентификации в соответствии с рекомендациями структурного подразделения Банка России; заключает со структурным подразделением Банка России договор о передаче структурным подразделением Банка России программного (и (или) иного ------- (указать какого)) обеспечения АРМ передачи ЭС (это условие включается в договор, если именно такая форма взаимодействия со структурным подразделением Банка России может обеспечить кредитной организации возможность создания необходимого интерфейса для передачи ЭС. В этом случае договор о передаче программного и (или) иного обеспечения АРМ передачи ЭС разрабатывается структурным подразделением Банка России); после выполнения перечисленных действий представляет в структурное подразделение Банка России "Акт о готовности кредитной организации к началу представления отчетности в виде электронных сообщений в структурное подразделение Банка России" по форме приложения 1 к настоящему Договору. 3.2. Для участия в передаче-приеме ЭС структурное подразделение Банка России выполняет следующие действия: сообщает кредитной организации сведения, необходимые для организации у нее АРМ передачи ЭС и обеспечения интерфейса этого АРМ с АРМ приема ЭС; передает кредитной организации для установки или устанавливает программное и (или) иное обеспечение, эксплуатационную документацию для организации АРМ передачи ЭС в порядке, установленном в договоре о передаче программного обеспечения АРМ передачи ЭС, обеспечивает соответствие передаваемого (устанавливаемого) кредитной организации прикладного программного обеспечения АРМ передачи ЭС (инсталляционного комплекта программного обеспечения) эталонному образцу программного обеспечения; регистрирует кредитную организацию в качестве участника передачи-приема ЭС, о чем сообщает кредитной организации в срок не позднее --------- (указать срок) путем ----------- (указать способ уведомления кредитной организации); регистрирует ключ КА и сведения, идентифицирующие кредитную организацию (наименование, основной государственный регистрационный номер, регистрационный номер кредитной организации по Книге государственной регистрации кредитных организаций, банковский идентификационный код (БИК) по Справочнику банковских идентификационных кодов участников расчетов на территории Российской Федерации); передает кредитной организации открытый ключ КА структурного подразделения Банка России; осуществляет прием ОЭС кредитной организации в тестовом режиме. 3.3. После выполнения Сторонами действий, указанных в пунктах 3.1 и 3.2 настоящего Договора, и получения структурным подразделением Банка России "Акта о готовности кредитной организации к началу представления отчетности в виде электронных сообщений в структурное подразделение Банка России" структурное подразделение Банка России письменно сообщает кредитной организации дату готовности к приему ОЭС. 3.4. Участие кредитной организации в передаче-приеме ЭС приостанавливается по заявлению одной из Сторон. 3.5. О приостановлении участия кредитной организации в передаче-приеме ЭС Сторона-инициатор заблаговременно ----- (указать срок) уведомляет другую Сторону письменно с указанием причин, даты начала и срока приостановления участия в передаче-приеме ЭС. В случае получения от кредитной организации письменного заявления с просьбой о приостановлении ее участия в передаче ЭС участие кредитной организации в передаче ЭС возобновляется после совершения Сторонами действий, предусмотренных пунктами 3.1 - 3.3 настоящего Договора. О решении возобновить участие кредитной организации в передаче ЭС структурное подразделение Банка России письменно уведомляет кредитную организацию. 3.6. Основанием для прекращения участия кредитной организации в передаче-приеме ЭС является прекращение действия настоящего Договора. 4. Общие принципы передачи-приема ЭС 4.1. При передаче-приеме ЭС Сторонами используются форматы, определенные структурным подразделением Банка России. Стороны осуществляют передачу-прием ОЭС в соответствии с регламентом передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (далее - регламент передачи-приема ОЭС), содержащим информацию, определенную в приложении 2 к настоящему Договору. 4.2. Прием (отказ в приеме) ОЭС подтверждается структурным подразделением Банка России направлением кредитной организации ИЭС о приеме (отказе в приеме) ОЭС. При отказе в приеме ОЭС структурное подразделение Банка России обязано указать причину отказа в виде текстового файла в составе ИЭС. Если кредитная организация не получит ИЭС, подтверждающего его прием (отказ в приеме) ОЭС в соответствии с регламентом передачи-приема ОЭС, она вправе запросить у структурного подразделения Банка России результаты проверки ОЭС ----------- (следует указать, каким способом осуществляется запрос). Время направления ИЭС о приеме ОЭС так же, как и время направления ИЭС, включающего протокол контроля, фиксируется Сторонами. 4.3. Передача кредитной организацией ОЭС в структурное подразделение Банка России осуществляется с использованием средств телекоммуникаций, а при невозможности их использования - путем передачи ОЭС, записанных на магнитных носителях (порядок перехода с одного способа на другой и документооборот при использовании магнитных носителей должны быть приведены в регламенте передачи-приема ОЭС, изложенном в приложении 2 к настоящему Договору). 4.4. При передаче-приеме ЭС с использованием средств телекоммуникаций для защиты информации применяются средства шифрования, определенные структурным подразделением Банка России. 4.5. С началом передачи-приема ОЭС кредитная организация обеспечивает представление в Банк России отчетности по перечню, доведенному структурным подразделением Банка России, в порядке, установленном Указанием от 24 января 2005 года N 1546-У, только в виде ЭС. 4.6. В случае возникновения чрезвычайных ситуаций и невозможности передачи ОЭС передача кредитной организацией отчетности в структурное подразделение Банка России осуществляется в порядке, установленном для представления отчетности, не содержащей КА. При этом структурное подразделение Банка России не отвечает за невозможность осуществления передачи ОЭС кредитной организацией, вызванную неисправностями используемых кредитной организацией программно-аппаратных средств и каналов связи, предоставленных третьими лицами. 5. Использование КА при передаче-приеме ЭС и управление ключами КА и шифрования 5.1. Стороны признают, что: внесение изменений в ЭС, снабженное КА, приводит к отрицательному результату проверки КА; подделка ЭС, снабженного КА, невозможна без использования секретного ключа КА владельца КА; каждая Сторона несет ответственность за сохранность своих секретных ключей КА и за действия своего персонала при использовании АРМ передачи ЭС и АРМ приема ЭС. 5.2. Для создания ключей КА, простановки и проверки КА в ЭС Стороны используют средства аутентификации, принятые к использованию в структурном подразделении Банка России, и признают их достаточными для подтверждения подлинности и контроля целостности ЭС. 5.3. Ключи КА подлежат регистрации в регистрационном центре, функционирующем в -------------- (указать наименование структурного подразделения Банка России). Для этого изготавливается регистрационная карточка по форме приложения 3 к настоящему Договору. Регистрационная карточка изготавливается в двух экземплярах, один из которых остается в регистрационном центре, другой передается кредитной организации. Ключ КА кредитной организации считается зарегистрированным с даты передачи кредитной организации ее экземпляра регистрационной карточки. 5.4. Кредитная организация приобретает право использовать зарегистрированный структурным подразделением Банка России ключ КА с даты, указанной структурным подразделением Банка России для начала передачи ОЭС в соответствии с пунктом 3.3 настоящего Договора. Порядок обращения с секретными ключами КА кредитной организации, обеспечивающий их конфиденциальность, и допуск к ним конкретных пользователей устанавливаются внутренними документами кредитной организации и Порядком обеспечения информационной безопасности при передаче-приеме ЭС в соответствии с приложением 4 к настоящему Договору. 5.5. Управление ключами КА и ключами шифрования в течение всего срока действия настоящего Договора осуществляется структурным подразделением Банка России и регламентируется внутренними документами кредитной организации и Порядком управления ключами КА и ключами шифрования в соответствии с приложением 5 к настоящему Договору. 5.6. Плановый срок действия ключей КА определяется структурным подразделением Банка России. 5.7. Плановая смена ключей КА производится структурным подразделением Банка России при соответствующем уведомлении кредитной организации. 5.8. Внеплановая смена ключей КА может производиться как по инициативе структурного подразделения Банка России, так и кредитной организации в случае компрометации или утраты секретного ключа КА. При смене ключей КА оформляется новая регистрационная карточка в порядке, предусмотренном пунктом 5.3 настоящего Договора. 5.9. После ввода в действие новых ключей КА прежде действовавшие секретные ключи КА уничтожаются, а открытые ключи КА хранятся структурным подразделением Банка России и кредитной организацией в течение всего срока хранения ОЭС, для подтверждения подлинности и контроля целостности которых они могут быть использованы. Уничтожение открытых ключей КА после истечения срока их хранения осуществляется структурным подразделением Банка России и кредитной организацией самостоятельно. 6. Права и обязанности структурного подразделения Банка России 6.1. При передаче-приеме ЭС структурное подразделение имеет следующие права: отказывать кредитной организации в регистрации в качестве участника передачи ОЭС в случае невыполнения ею условий участия, предусмотренных настоящим Договором; отказывать кредитной организации в приеме ОЭС с указанием причины отказа; приостанавливать передачу ОЭС кредитной организацией при наличии оснований, предусмотренных пунктом 3.4 настоящего Договора; запрашивать, с обоснованием причин, копию ОЭС на бумажном носителе, оформленную в соответствии с требованиями нормативных актов Банка России; изменять перечень ОЭС, подлежащих передаче, и их форматы; вносить изменения в регламент передачи-приема ОЭС, порядок осуществления контроля ОЭС, с письменным уведомлением ------ (указать срок, в течение которого должно быть представлено уведомление) с указанием даты вступления указанных изменений в силу. 6.2. При передаче-приеме ЭС структурное подразделение Банка России обязано: принимать ОЭС при соблюдении кредитной организацией настоящего Договора; передавать (устанавливать) кредитной организации актуальные версии прикладного программного обеспечения АРМ передачи ЭС и соответствующие комплекты эксплуатационной документации (это положение включается, если предусматривается договор о передаче (установке) структурным подразделением Банка России кредитной организации программного (и (или) иного) обеспечения АРМ передачи ЭС); устанавливать регламент передачи-приема ОЭС, перечень и форматы передаваемой ОЭС, порядок осуществления контроля ОЭС; соблюдать регламент передачи-приема ОЭС; вести архивы ЭС; хранить эталоны программных средств, предназначенные для создания и проверки КА, а также документацию на эти средства в течение сроков хранения ЭС, для подписания и подтверждения подлинности и контроля целостности которых использовались (могут использоваться) указанные средства; организовывать смену ключей КА; своевременно информировать кредитную организацию обо всех случаях возникновения технических неисправностей или других обстоятельствах, препятствующих приему ЭС; оказывать консультации по вопросам обслуживания переданного (установленного) программного (и (или) иного) обеспечения (это условие включается в договор, если кредитная организация получает программное (и (или) иное) обеспечение АРМ передачи ЭС через структурное подразделение Банка России). 7. Права и обязанности кредитной организации 7.1. При передаче ОЭС кредитная организация имеет право обращаться в структурное подразделение Банка России с запросами по вопросам передачи ОЭС и функционирования АРМ передачи ЭС. 7.2. При осуществлении взаимодействия со структурным подразделением Банка России по передаче-приему ОЭС кредитная организация обязана: передавать ОЭС в установленном структурным подразделением Банка России порядке; предоставлять членам Согласительной комиссии доступ в помещение, где размещается АРМ передачи ЭС кредитной организации, для проведения проверок соблюдения кредитной организацией условий настоящего Договора; обеспечивать сохранность, целостность и работоспособность АРМ передачи ЭС; информировать структурное подразделение Банка России о неисправностях в работе АРМ передачи ЭС и по запросам структурного подразделения Банка России письменно подтверждать наличие этих событий с указанием обстоятельств, при которых они возникли; использовать АРМ передачи ЭС кредитной организации только в целях, установленных настоящим Договором, без права передачи третьим лицам или копирования; обеспечивать доступ к АРМ передачи ЭС только уполномоченным сотрудникам; соблюдать регламент передачи-приема ОЭС; вести архивы ОЭС в установленном кредитной организацией порядке; хранить программные средства, предназначенные для создания и проверки КА, а также документацию на эти средства в течение сроков хранения ОЭС; в срок до ------ (указать срок) информировать структурное подразделение Банка России обо всех случаях технических неисправностей или других обстоятельствах, препятствующих передаче ОЭС; в течение двух рабочих дней информировать структурное подразделение Банка России об изменении своего места нахождения, а также об изменении иных реквизитов (наименования, основного государственного регистрационного номера, регистрационного номера по Книге государственной регистрации кредитных организаций), имеющих существенное значение для определения правового статуса и идентификации кредитной организации. 8. Обеспечение конфиденциальности Сведения о ключах КА и ключах шифрования, иные сведения (указать какие) не подлежат передаче третьим лицам, за исключением случаев, установленных законодательством Российской Федерации. 9. Рассмотрение вопросов, возникающих при исполнении настоящего Договора Для рассмотрения вопросов, возникающих при исполнении настоящего Договора, уполномоченными представителями Сторон может быть создана Согласительная комиссия, порядок работы которой изложен в приложении 6 к настоящему Договору. 10. Порядок прекращения представления отчетности в виде ЭС 10.1. Настоящий Договор вступает в силу с даты его подписания обеими Сторонами и действует в течение неопределенного срока. 10.2. Внесение структурным подразделением Банка России изменений в Договор в соответствии с пунктом 6.1 настоящего Договора оформляется в виде документа, подписываемого уполномоченным должностным лицом структурного подразделения Банка России, направляемого кредитной организации, являющегося неотъемлемой частью настоящего Договора и вступающего в силу, начиная с даты, указанной в соответствии с пунктом 6.1 настоящего Договора в уведомлении структурного подразделения Банка России. После вступления в силу данного документа положения Договора, подлежащие изменению, утрачивают для Сторон юридическую силу. 10.3. Действие настоящего договора прекращается в случае смены структурного подразделения Банка России, осуществляющего надзор за деятельностью кредитной организации, или по инициативе одной из Сторон. При этом Сторона-инициатор должна уведомить другую Сторону о предстоящем прекращении действия Договора направлением другой Стороне соответствующего уведомления не позднее ------------- (указать срок) календарных дней до даты прекращения действия Договора. 10.4. Кроме условий, указанных в пункте 10.3 настоящего Договора, структурное подразделение Банка России в одностороннем порядке вправе прекратить действие настоящего Договора в следующих случаях: несогласия кредитной организации с изменениями, вносимыми настоящим Договором структурным подразделением Банка России в случаях, установленных настоящим Договором; нарушения кредитной организацией требований к передаче ОЭС и обеспечению безопасности при передаче-приеме ЭС, предусмотренных Указанием от 24 января 2005 года N 1546-У. 10.5. После расторжения Договора кредитная организация осуществляет представление отчетности в порядке, установленном Банком России для представления отчетности, не снабженной КА. 11. Прочие условия 11.1. Права и обязанности Сторон по настоящему Договору не могут быть уступлены или переданы третьим лицам. 11.2. По не урегулированным настоящим Договором вопросам Стороны руководствуются законодательством Российской Федерации, в том числе нормативными актами Банка России. 11.3. К настоящему Договору прилагаются и являются его неотъемлемой частью следующие приложения: акт о готовности кредитной организации к началу представления отчетности в виде электронных сообщений в структурное подразделение Банка России (приложение 1); регламент передачи-приема ОЭС между кредитной организацией и структурным подразделением Банка России (приложение 2); регистрационная карточка (приложение 3); порядок обеспечения информационной безопасности при передаче-приеме ЭС (приложение 4); порядок управления ключами КА и ключами шифрования (приложение 5); порядок работы Согласительной комиссии (приложение 6). 11.4. Все изменения к настоящему Договору, за исключением условий, предусмотренных пунктами 10.2 и 10.4 настоящего Договора, оформляются Дополнительными соглашениями и подписываются уполномоченными представителями Сторон. 11.5. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, на ---- листах каждый. Один из экземпляров хранится в структурном подразделении Банка России, другой - у кредитной организации. Структурное подразделение Кредитная организация: Банка России: ---------------------------------- ----------------------------------- ---------------------------------- ----------------------------------- ---------------------------------- ----------------------------------- ---------------------------------- ----------------------------------- Приложение 1 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- Утверждаю ----------------------- Руководитель (указать наименование кредитной организации) "--" ---------- ---- г. АКТ О ГОТОВНОСТИ КРЕДИТНОЙ ОРГАНИЗАЦИИ К НАЧАЛУ ПРЕДСТАВЛЕНИЯ ОТЧЕТНОСТИ В ВИДЕ ЭЛЕКТРОННЫХ СООБЩЕНИЙ В СТРУКТУРНОЕ ПОДРАЗДЕЛЕНИЕ БАНКА РОССИИ г. --------- "--" ---------- года Комиссия, назначенная Приказом N ------ от "--" ---------- ---- г. Руководителя (указать наименование кредитной организации), в составе: 1. -------------------------------------------------------------- 2. -------------------------------------------------------------- 3. -------------------------------------------------------------- 4. -------------------------------------------------------------- провела проверку готовности ------------ (указать наименование кредитной организации) к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России. Комиссия установила следующее: 1. В части реализации организационных мер: ---------------------------------------------------------------------- ---------------------------------------------------------------------- ---------------------------------------------------------------------- 2. В части выполнения рекомендаций структурного подразделения Банка России к АРМ передачи ЭС кредитной организации: ---------------------------------------------------------------------- ---------------------------------------------------------------------- 3. В части обеспечения информационной безопасности: ---------------------------------------------------------------------- ---------------------------------------------------------------------- Приложения: 1. Акт аттестации АРМ передачи ЭС (составляется в произвольной форме, содержание должно отражать соответствие рекомендациям структурного подразделения Банка России. Акт утверждается руководителем кредитной организации). 2. Акт аттестации средств защиты информации (составляется в произвольной форме, в нем должны быть приведены контрольные значения средств контроля целостности программного обеспечения СЗИ, установленного на АРМ передачи ЭС, и программного обеспечения по контролю средств контроля целостности. Акт утверждается руководителем кредитной организации). 3. Уведомление о назначении Администратора АРМ передачи ЭС (указываются ФИО, должность, N и дата приказа, номер телефона. Уведомление подписывается руководителем кредитной организации). Заключение: ---------------------------------------------------------------------- ---------------------------------------------------------------------- ---------------------------------------------------------------------- ---------------------------------------------------------------------- Настоящий акт составлен на -------- страницах в двух экземплярах, имеющих одинаковую юридическую силу. Члены комиссии: (подписи) ------------------------- ------------------------- ------------------------- Приложение 2 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- РЕГЛАМЕНТ ПЕРЕДАЧИ-ПРИЕМА ОЭС МЕЖДУ КРЕДИТНОЙ ОРГАНИЗАЦИЕЙ И СТРУКТУРНЫМ ПОДРАЗДЕЛЕНИЕМ БАНКА РОССИИ В регламенте передачи-приема ОЭС указывается следующая информация: 1. Время начала и окончания передачи-приема ОЭС. 2. Описание схемы документооборота между кредитной организацией и структурным подразделением Банка России. 3. Способ и порядок передачи ОЭС (по каналам связи, на магнитном носителе). Порядок перехода с одного способа передачи ОЭС на другой. 4. Сеансы передачи ОЭС. 5. Порядок подтверждения подлинности, контроля целостности и проверки соответствия ОЭС требованиям, установленным структурным подразделением Банка России к представляемой в структурное подразделение Банка России отчетности кредитной организации, с указанием времени, способа передачи и предельных сроков сообщения кредитной организации о результатах контроля, а также с указанием действий Сторон при отрицательных результатах. Приложение 3 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- РЕГИСТРАЦИОННАЯ КАРТОЧКА (Форма регистрационной карточки разрабатывается структурным подразделением Банка России в зависимости от функциональных возможностей конкретного средства аутентификации, применяемого при передаче-приеме ЭС) 1. Обязательными реквизитами регистрационной карточки являются: наименование структурного подразделения Банка России; наименование кредитной организации; наименование применяемого средства аутентификации; информация, идентифицирующая ключ КА (идентификатор и/или номер КА, идентификатор и/или номер серии); распечатка открытого ключа КА кредитной организации в шестнадцатеричной системе счисления; дата изготовления ключа КА; даты начала и окончания действия ключа КА; подписи руководителя и главного бухгалтера кредитной организации, заверенные оттиском печати; подпись администратора регистрационного центра. Кроме того, регистрационная карточка может содержать иные реквизиты. 2. Регистрационная карточка может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна в обязательном порядке содержать подписи указанных в ней должностных лиц кредитной организации, заверенные оттиском печати. Приложение 4 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- ПОРЯДОК ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ЭС (Разрабатывается структурным подразделением Банка России) 1. Передача-прием ЭС между кредитной организацией и структурным подразделением Банка России осуществляются с применением средств защиты информации (далее - СЗИ): средств аутентификации и шифрования. Конкретные средства защиты информации и порядок их использования определяются структурным подразделением Банка России. 2. Установка и настройка СЗИ на АРМ передачи ЭС кредитной организации выполняются в присутствии Администратора АРМ передачи ЭС, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СЗИ. 3. Технологический процесс передачи-приема и обработки ЭС с использованием СЗИ должен быть регламентирован структурным подразделением Банка России и обеспечен инструктивными и методическими материалами. 4. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним. 5. Кредитная организация должна приобрести средство формирования ключей КА (по рекомендации структурного подразделения Банка России) и изготовить ключи КА самостоятельно. Открытые ключи КА кредитная организация должна направить на регистрацию в регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2 экземплярах, один из которых остается в регистрационном центре, другой - выдается кредитной организации. 6. Ключи шифрования, предназначенные для обеспечения защиты информации при передаче ЭС по каналам связи, предоставляются кредитной организации структурным подразделением Банка России. Получение ключей шифрования кредитной организацией оформляется актом. Форма акта определяется структурным подразделением Банка России. 7. Руководство каждой из Сторон утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием конкретной информации для каждого лица). Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен. 8. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться надежные металлические хранилища. Хранение носителей ключевой информации с секретными ключами КА допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА. 9. По окончании рабочего дня, а также вне времени составления и передачи-приема ЭС носители ключевой информации с секретными ключами КА или ключами шифрования должны помещаться в хранилище. 10. Не допускается: снимать несанкционированные копии с носителей ключевой информации; знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным; выводить секретные ключи КА или ключи шифрования на дисплей (монитор) ПЭВМ или принтер; устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ПЭВМ, на которой программные средства передачи-приема ОЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ПЭВМ; записывать на носители ключевой информации постороннюю информацию. 11. При компрометации секретного ключа КА или ключа шифрования Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации регистрационный центр, который организует внеплановую смену ключей КА или ключей шифрования. 12. По факту компрометации ключа КА или ключа шифрования Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в Акте. 13. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника соответствующей Стороны, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена смена ключей, к которым указанный сотрудник имел доступ. Приложение 5 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- ПОРЯДОК УПРАВЛЕНИЯ КЛЮЧАМИ КА И КЛЮЧАМИ ШИФРОВАНИЯ (Разрабатывается структурным подразделением Банка России на основании положений Приложения 4 к настоящему Договору и эксплуатационно-технической документации на используемые средства защиты информации) Приложение 6 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ------------ N --- ПОРЯДОК РАБОТЫ СОГЛАСИТЕЛЬНОЙ КОМИССИИ (Составляется структурным подразделением Банка России) 1. Согласительная комиссия (далее - комиссия) может быть создана сторонами с целью рассмотрения споров при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием их возникновения, а также в необходимых случаях для подтверждения подлинности и контроля целостности ОЭС. 2. При возникновении вопросов по передаче-приему ЭС Сторона, предъявляющая претензии (далее - Сторона-инициатор), направляет другой Стороне заявление, подписанное уполномоченным должностным лицом, с подробным изложением этих вопросов и предложением создать комиссию. Заявление должно содержать фамилии представителей Стороны-инициатора, которые будут участвовать в работе комиссии, место, время и дату сбора комиссии (не позднее 7 дней со дня отправления заявления). При этом до подачи заявления Стороне-инициатору рекомендуется убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии несанкционированных действий со стороны персонала, обслуживающего АРМ передачи (приема) ЭС. 3. В состав комиссии должно входить равное количество представителей каждой Стороны (до пяти человек, включая представителей службы безопасности, юридической службы и иных), а также, в случае необходимости, независимые эксперты. Члены комиссии от каждой Стороны назначаются приказами соответствующей Стороны. В случае необходимости привлечения независимых специалистов, имеющих официально подтвержденную квалификацию, специалист считается назначенным только при согласии обеих Сторон, выраженном в письменной форме. Порядок оплаты работы независимых экспертов в комиссии определяется по предварительному согласованию Сторон. 4. Комиссия создается на срок до -- дней (указать срок). В исключительных случаях срок работы комиссии по согласованию Сторон может быть продлен до 30 дней. 5. Стороны обязуются способствовать работе комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи (приема) ЭС. 6. В ходе работы комиссии каждая Сторона обязана доказать, что она исполнила обязательства по Договору надлежащим образом. 7. Работа комиссии проходит в два этапа. 7.1. На первом этапе комиссия осуществляет контроль целостности (путем расчета контрольных значений) самой программы, с помощью которой осуществляется контроль целостности программного обеспечения средств защиты информации (далее - ПО СЗИ) АРМ передачи ЭС, и контроль целостности ПО СЗИ, установленного на АРМ передачи ЭС. Полученные результаты сравниваются со значениями, записанными в акте о готовности кредитной организации к началу представления отчетности в виде электронных сообщений в структурное подразделение Банка России (приложение 1 к настоящему Договору). При их совпадении данное ПО СЗИ АРМ передачи ЭС принимается к использованию в работе комиссии. При необходимости комиссии передаются: открытый ключ КА регистрационного центра, открытые ключи КА кредитной организации, справочник открытых ключей КА структурного подразделения Банка России с соответствующими регистрационными листами. Распечатки открытых ключей КА регистрационного центра и кредитной организации сравниваются с соответствующими регистрационными листами. При положительном результате сравнения проверенные ключи КА принимаются к использованию в дальнейшей работе комиссии. С помощью принятых комиссией к работе ПО СЗИ и открытого ключа КА регистрационного центра проверяется целостность справочника открытых ключей КА структурного подразделения Банка России, находящегося у кредитной организации. При отрицательном результате проверки целостности ПО СЗИ или сравнения открытых ключей КА регистрационного центра и кредитной организации с соответствующими регистрационными листами, а также нарушении целостности справочника открытых ключей КА структурного подразделения Банка России дальнейшее рассмотрение разногласий не проводится. 7.2. На втором этапе комиссия проводит проверку на подтверждение подлинности и контроль целостности ОЭС. Проверка осуществляется в случаях --------- (указать каких), когда кредитная организация утверждает, что не направляла ОЭС, а структурное подразделение Банка России утверждает, что ОЭС было получено, или структурное подразделение Банка России утверждает, что не получало ОЭС, а кредитная организация утверждает, что ОЭС было направлено, а также в иных случаях (указать). 7.2.1. В случаях, когда кредитная организация отрицает факт отправления ОЭС, структурное подразделение Банка России представляет в комиссию ОЭС, оспариваемое кредитной организацией. Комиссия осуществляет проверку на подтверждение подлинности и контроль целостности данного ОЭС путем проверки КА кредитной организации с помощью принятого комиссией к использованию ПО СЗИ. При положительном результате проверки на подтверждение подлинности и контроля целостности ОЭС, представленного структурным подразделением Банка России, комиссией делается вывод о том, что кредитная организация направляла ОЭС структурному подразделению Банка России. Если кредитная организация настаивает на том, что данное ОЭС она не отправляла, комиссия может вынести определение о компрометации секретного ключа КА кредитной организации. В обоих случаях кредитная организация отвечает за информацию, содержащуюся в ОЭС. Если проверка КА кредитной организации по оспариваемому ОЭС дает отрицательный результат, то комиссией делается вывод о том, что кредитная организация не направляла ОЭС структурному подразделению Банка России и не должна отвечать за информацию, содержащуюся в ОЭС. 7.2.2. В случае, когда структурное подразделение Банка России отрицает факт приема ОЭС, кредитная организация предъявляет в комиссию ИЭС структурного подразделения Банка России, подтверждающее положительный результат проверки на подтверждение подлинности и контроля целостности ОЭС или отказ в приеме ОЭС, что свидетельствует о получении структурным подразделением Банка России данного ОЭС. 8. По итогам работы комиссии составляется акт, содержащий: фактические обстоятельства, послужившие основанием возникновения разногласий; порядок работы членов комиссии; вывод по результатам работы комиссии по оспариваемому ОЭС и его обоснование. Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта. Члены комиссии, не согласные с мнением большинства, подписывают акт с особым мнением, которое прикладывается к акту. 9. В случае если на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен, или получен отказ от участия в работе комиссии, или если другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 8 настоящего приложения. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне. |