В продолжение обзора требований Положения Банка России от 24.08.2016 № 552-П
В связи с рассылкой писем Банка России от 20.01.2017 стал понятен смысл фразы “функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников” в Разделе 5 п. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе Банка России”:
“Раздел 5. Требования к использованию технологических мер защиты информации
5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”
В указанном Письме Банка России кредитным организациям предлагается функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) перенести из АРМ КБР в АБС, доработав сответственно свои АБС.
Для этого кредитным организациям, очевидно, потребуется направить в адрес компании – разработчика АБС (или в адрес внутреннего подразделения, если АБС своя) информационное сообщение (ниже – мой примерный вариант текста) с изложением сути доработки в АБС как это сформулировано в Письме Банка России. А именно:
- провести работы по «встраиванию» средств криптографической защиты информации (СКЗИ) в собственные АБС для формирования кодов аутентификации (КА) и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования защитных кодов (ЗК) и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС.
В информационном письме к разработчику АБС необходимо запросить информацию о возможных сроках доработки АБС, в части реализации в них функции подписания электронных сообщений (пакетов сообщений) и с учетом необходимости включения ЗК в электронные сообщения, в качестве их реквизитов. Затем направить полученные сроки от разработчиков АБС в Департамент информационных технологий Банка России до 17 февраля 2017 года (в одном сообщении от ДИТ Банка России стоит другой срок - .до 14(!) февраля 2017 года).
Необходимо учесть, что изменение использования программных средств клиента Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС) Банка России касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры, а также юридических лиц – клиентов кредитных организаций, с которыми начаты работы по включению в состав пользователей системы передачи финансовых сообщений Банка России (СПФС).
Так же, возможно, потребуется внести в договор кредитной организации с разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику АБС соответствующего СКЗИ для проведения указанных работ в АБС.
Руководителю компании-
разработчику АБС
Информационное письмо
Касается доработки автоматизированной банковской системы
с целью обмена финансовыми сообщениями с автоматизированными
системами Банка России
__.__.2017
Уважаемый Алгоритм Алгоритмович!
В соответствии с письмом Банка России от 20.01.2017 № ________/_____ (представлено в Приложении) просим провести доработку автоматизированной банковской системы (наименование АБС) с целью встраивания средств криптографической защиты информации (СКЗИ) в АБС (наименование АБС) для формирования кодов аутентификации (КА) и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования защитных кодов (ЗК) и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС.
При проведении доработки АБС необходимо учесть, что механизм простановки ЗК под электронным сообщением должен исполняться в АБС только после совершения расчетной операции, а простановка КА – только после получения положительного результата контроля реквизитов исходящего электронного сообщения (электронного сообщения, снабженного ЗК) с реквизитами полученного платежного документа на входе в АБС, на основании которого данная расчетная операция была совершена (т.е. непосредственно после проверки неизменности реквизитов).
Просим сообщить примерные сроки выполнения указанных работ.
Руководитель ________________ /_______________/
« » _______________ 2017 г.
Исполнитель:
Должность, ФИО, тел:
