в соответствии с письмом Департамента коллективных инвестиций и доверительного управления от ......... N ........... проведена активация и авторизация личного кабинета участника информационного обмена с Банком России. Настоящим письмом сообщаем о готовности организации к началу электронного взаимодействия с Банком России посредством технологии личного кабинета участника информационного обмена. Одновременно направляем чек-лист результатов тестирования работоспособности функционала личного кабинета. Чек-лист результатов тестирования Функция Статус Комментарий Пример Успешно/Не успешно Что вызвало трудности, вопросы и т.п. Активация ЛК Авторизация ЛК Применение СКЗИ Функционирование экранной формы "Обращение (запрос) в Банк России" Лента событий Функция поиска и т.п. "__" ________ 2017 г. Руководитель организации ФИО Приложение 6 ПОРЯДОК ОРГАНИЗАЦИИ ВЗАИМОДЕЙСТВИЯ ВНЕШНИХ ПОЛЬЗОВАТЕЛЕЙ С ЕСПП В СЛУЧАЕ ВОЗНИКНОВЕНИЯ СБОЙНОЙ СИТУАЦИИ В ПРОЦЕССЕ ФУНКЦИОНИРОВАНИЯ ЛИЧНОГО КАБИНЕТА УЧАСТНИКА ИНФОРМАЦИОННОГО ОБМЕНА С БАНКОМ РОССИИ В случае возникновения/устранения проблемной ситуации, которая приводит к нарушению/восстановлению выполнения пользователями действий по электронному обмену с Банком России через личный кабинет, а также в случае проведения плановых работ
общее наименование не запрошенных пользователями электронных посланий и рекламных писем, рассылаемых в сети Интернет по ставшим известными рассылающей стороне адресам пользователей. 7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации 7.7.1. Средства криптографической защиты информации или шифровальные (криптографические) средства (далее - СКЗИ) предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи. Необходимость использования СКЗИ определяется организацией БС РФ самостоятельно, если иное не предусмотрено законодательством РФ. 7.7.2. Применение СКЗИ в организации БС РФ должно проводиться в соответствии с моделью угроз ИБ и моделью нарушителя ИБ, принятыми организацией БС РФ. Рекомендуется утвердить частную политику ИБ, касающуюся применения СКЗИ в организации БС РФ. 7.7.3. СКЗИ, применяемые для защиты персональных данных, должны иметь класс не ниже КС2. 7.7.4. Работы по обеспечению с помощью СКЗИ безопасности информации проводятся в соответствии с законодательством РФ, нормативными документами, регламентирующими вопросы эксплуатации СКЗИ, технической документацией на СКЗИ и лицензионными требованиями ФСБ
1.9. Регистрационная карточка ключа КА - документ, содержащий распечатку открытого ключа КА в шестнадцатеричной системе счисления, наименование владельца ключа КА и иные идентифицирующие владельца ключа КА сведения, подписанный руководителем (или замещающим его лицом) МИ ФНС России по ЦОД, банка (филиала банка), Уполномоченного подразделения Банка России или ТУ Банка России и содержащий оттиск печати владельца ключа (далее - регистрационная карточка). 2. Обмен сообщениями между МИ ФНС России по ЦОД и банками (филиалами банков) осуществляется с применениемСКЗИ , принятых к использованию в Банке России. СКЗИ используются для формирования кодов аутентификации и шифрования сообщений. 3. МИ ФНС России по ЦОД, банки (филиалы банков), Банк России могут иметь резервные ключи КА и шифрования. 4. МИ ФНС России по ЦОД, банки (филиалы банков), Банк России изготавливают ключи КА самостоятельно. Ключи КА подлежат регистрации в регистрационном центре. Для этого изготавливается регистрационная карточка в двух экземплярах в соответствии с порядком, определяемым регистрационным центром. Регистрационная карточка содержит:
обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов; поставляются разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения; поддерживают непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для среды функционирования СКЗИ, представляющей собой совокупность технических и программных средств, совместно с которыми происходит штатное функционирование СКЗИ и которые способны повлиять на выполнение предъявляемых к СКЗИ требований. 2.9.3. В случае применения СКЗИ оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок применения СКЗИ, включающий: порядок ввода в действие, включая процедуры встраивания СКЗИ в автоматизированные системы, используемые для осуществления переводов денежных средств; порядок эксплуатации СКЗИ; порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе; порядок внесения изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ; порядок снятия с эксплуатации СКЗИ; порядок
Довод заявителя об отсутствии технической возможности использования технических средств защиты информации от воздействия вредоносного кода апелляционной коллегией не принимается как не подтвержденный документально. Оценивая законность и обоснованность абзаца 3 пункта 6 оспариваемого предписания, суд апелляционной инстанции учитывает, что в силу пункта 2.9.3 Положения №382-П в случае применения средств криптографической защиты информации (сокращенно - СКЗИ) оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок примененияСКЗИ , в том числе – порядок эксплуатации СКЗИ. Материалами инспекционной проверки от 29.04.2016 №А1КИ25-18-4/7ДСП подтверждается, что банком разработан внутренний документ, в котором изложен порядок применения СКЗИ - «Частная политика по обеспечению информационной безопасности при использовании СКЗИ». При этом контрольными мероприятиями зафиксировано нарушение обществом пункта 29 названного документа, выразившееся в нарушение порядка использования ключа ЭЦП СКЗИ Сигнатура, предназначенного для обмена электронными сообщениями с Банком России, в части неосуществления внеплановой смены ключа ЭЦП СКЗИ Сигнатура в
налоговым органом и территориальным учреждением, предусмотренное Положением 311-П, осуществляется с применением средств криптографической защиты информации (далее - СКЗИ), определяемых Банком России по согласованию с федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов. Обеспечение информационной безопасности при использовании СКЗИ осуществляется в порядке, установленном приложением 8 к настоящему Положению № 311-П. Согласно п. 2 приложения 8 Положения № 311-П обмен электронными сообщениями между уполномоченным налоговым органом и банком осуществляется с применениемСКЗИ , принятых к использованию в Банке России. СКЗИ используются для формирования ключа аутентификации и шифрования электронных сообщений. Положением Банка России от 18.05.2010 № 359-П «О порядке сообщения головным расчетно-кассовыми центрами, расчетно-кассовыми центрами, операционными управлениями, отделениями, полевыми учреждениями Банка России, Первым операционным Управление м Банка России в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета» (далее - Положение № 359-П) установлено, что электронные сообщения для налогового органа формируются первым
с уполномоченным налоговым органом и территориальным учреждением, предусмотренное Положением 311-П, осуществляется с применением средств криптографической защиты информации (далее - СКЗИ), определяемых Банком России по согласованию с федеральным органом исполнительной власти, уполномоченным по контролю и надзору в области налогов и сборов. Обеспечение информационной безопасности при использовании СКЗИ осуществляется в порядке, установленном приложением 8 к настоящему Положению №311-П. Согласно пункту 2 приложения 8 Положения №311-П обмен электронными сообщениями между уполномоченным налоговым органом и банком осуществляется с применениемСКЗИ , принятых к использованию в Банке России. СКЗИ используются для формирования ключа аутентификации и шифрования электронных сообщений. Положением Банка России от 18.05.2010г. №359-П «О порядке сообщения головным расчетно-кассовыми центрами, расчетно-кассовыми центрами, операционными управлениями, отделениями, полевыми учреждениями Банка России, Первым операционным Управление м Банка России в электронном виде налоговому органу об открытии или о закрытии счета, об изменении реквизитов счета» (далее - Положение № 359-П) установлено, что электронные сообщения для налогового органа формируются первым операционным
защиты информации от воздействия вредоносного кода не подтвержден материалами дала, в связи с чем, судом не принимается. Таким образом, указание в предписании на нарушение банком требований нормативного акта Банка России в этой части является законным и обоснованным. Пунктом 2.9.3. Положения № 382-П, установлено, что в случае применения средств криптографической защиты информации (далее - СКЗИ), оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры определяют во внутренних документах и выполняют порядок примененияСКЗИ , включающий: порядок ввода в действие, включая процедуры встраивания СКЗИ в автоматизированные системы, используемые для осуществления переводов денежных средств; порядок эксплуатации СКЗИ; порядок восстановления работоспособности СКЗИ в случаях сбоев и (или) отказов в их работе; порядок внесения изменений в программное обеспечение СКЗИ и техническую документацию на СКЗИ; порядок снятия с эксплуатации СКЗИ; порядок управления ключевой системой; порядок обращения с носителями криптографических ключей, включая порядок применения организационных мер защиты информации и использования технических средств защиты
указанная в п. 2.1, включает в себя стоимость услуги, материалов и их доставку, стоимость сопутствующих (в том числе подготовительных) услуг, необходимых для оказания услуги, указанной в п. 1.1 и Приложении 1 к настоящему Контракту, сумму всех налогов, сборов, других обязательных платежей, компенсацию иных издержек Исполнителя, причитающееся ему вознаграждение и т.д. и является конечной (п.2.2). В разделе 3 контракта сторонами согласованны обязательства по отношению друг к другу. Заказчик до 5 числа каждого месяца направляет с применением СКЗИ ViP№et Clie№t [Деловая почта] либо на съемном носителе Исполнителя структурированный файл с заполненными в соответствии с имеющимися у него данными полями (п. 3.1). Исполнитель до 8 числа каждого месяца заполняет поля, предусмотренные для заполнения Исполнителем, и возвращает файл Заказчику. Если 8 число месяца выпадает на выходной или праздничный день, то обязательство по передаче файла переносится на первый рабочий день, следующий за ним (п. 3.2). Заказчик вправе направить с применением СКЗИ ViP№et Clie№t [Деловая почта]
незаконным предписания в оспариваемой части, поскольку с учетом представленных в материалы дела доказательств в период с 01.12.2017 по 15.03.2018 Управление осуществляло работу в закрытой части Единой системы с использованием СКЗИ «Программный комплекс ViPNet Client 3.2», не имеющего действующего сертификата соответствия требованиям ФСБ России к шифровальным (криптографическим) средствам. Именно данное обстоятельство послужило основанием для вынесения предписания. Факт уничтожения СКЗИ в период проведения проверки не влияет на законность предписания, поскольку, как установлено в ходе судебного разбирательства, применение СКЗИ имело место в период уже с 01.12.2017, об обстоятельствах его уничтожения проверяющий в известность поставлен не был. Из представленных в материалы дела документов следует, что работу в подсистеме «Организационно-штатная структура» необходимо осуществлять в закрытой части Единой системы, доступ к которой производится с использованием средства авторизованного доступа - СКЗИ. В данной подсистеме Управлением размещались сведения о вакансиях, на которые в ответ поступали отклики в виде документов, в том числе, анкет, содержащих персональные данные, что не
их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности", утвержденных приказом ФСБ России от 10.07.2014 №378, для использования средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз необходимо для каждого из уровней защищенности персональных данных применение СКЗИ (средств криптографической защиты информации) соответствующего класса, позволяющих обеспечивать безопасность персональных данных при реализации целенаправленных действий с использованием аппаратных и (или) программных средств…; Для обеспечения сохранности носителей персональных данных необходимо осуществлять поэкземплярный учет машинных носителей персональных данных, который достигается путем ведения журнала учета носителей персональных данных с использованием регистрационных (заводских) номеров (подпункт «б» пункта 7 приказа №378). Как следует из содержания обжалуемого постановления, в нарушение требований пункта 3 части 2 ст. 19 ФЗ «О персональных