В продолжение обзора требований Положения Банка России от 24.08.2016 № 552-П
В связи с рассылкой писем Банка России от 20.01.2017 стал понятен смысл фразы
“функции формирования, обработки,
контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ
обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной
банковской системы участников” в Разделе 5 п. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации
в платежной системе Банка России”:
“Раздел 5. Требования к использованию технологических мер защиты информации
5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента
в системе интернет-банкинга, а так же определения перечня устройств, с
использованием которых может осуществляться доступ к системе интернет-банкинга
при переводе денежных средств посредством передачи ЭС в ПС БР, функции
формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться
с использованием АРМ обмена ЭС с ПС БР или с использованием специальной
компоненты автоматизированной банковской системы участников.”
В указанном Письме Банка России кредитным организациям предлагается функции
формирования кодов аутентификации (КА) и защитных кодов (ЗК) перенести из АРМ
КБР в АБС, доработав сответственно свои АБС.
Для этого кредитным организациям, очевидно, потребуется направить в адрес
компании – разработчика АБС (или в адрес внутреннего подразделения, если АБС
своя) информационное сообщение (ниже – мой примерный вариант текста) с изложением сути
доработки в АБС как это сформулировано в Письме Банка России. А именно:
- провести работы по «встраиванию» средств криптографической защиты
информации (СКЗИ) в собственные АБС для формирования кодов аутентификации (КА) и
снабжения ими электронных сообщений (пакетов электронных сообщений), а также для
формирования защитных кодов (ЗК) и
включения их в состав реквизитов электронных сообщений в соответствии с
действующим альбомом УФЭБС.
В информационном письме к разработчику АБС необходимо запросить информацию
о возможных сроках доработки АБС, в части реализации в них функции подписания
электронных сообщений (пакетов сообщений) и с учетом необходимости включения ЗК
в электронные сообщения, в качестве их реквизитов. Затем направить полученные
сроки от разработчиков АБС в Департамент информационных технологий Банка России
до 17 февраля 2017 года (в одном сообщении от
ДИТ Банка России стоит другой срок - .
до 14(!) февраля 2017 года).
Необходимо учесть, что изменение использования программных средств клиента
Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС)
Банка России касается только клиентов Банка России, с которыми заключены либо
планируется заключить договоры, а также юридических лиц –
клиентов кредитных организаций, с которыми начаты работы по включению в состав
пользователей системы передачи финансовых сообщений Банка России (СПФС).
Также, возможно, потребуется внести в договор кредитной организации как с Банком России, так и с
разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику
АБС соответствующего СКЗИ для проведения указанных работ в АБС.
Руководителю компании-
разработчику АБС
Информационное письмо
Касается доработки автоматизированной
банковской системы
с целью обмена
финансовыми сообщениями с автоматизированными
системами Банка
России
__.__.2017
Уважаемый
Алгоритм Алгоритмович!
В соответствии с письмом Банка России от 20.01.2017 № ________/_____
(представлено в Приложении) просим провести доработку автоматизированной банковской
системы (наименование АБС) с целью встраивания
средств криптографической защиты информации (СКЗИ) в АБС (наименование АБС) для формирования кодов аутентификации (КА) и
снабжения ими электронных сообщений (пакетов электронных сообщений), а также для
формирования защитных кодов (ЗК) и включения их в состав реквизитов электронных
сообщений в соответствии с действующим альбомом УФЭБС.
При
проведении доработки АБС необходимо учесть, что механизм простановки ЗК под
электронным сообщением должен исполняться в АБС только после совершения
расчетной операции, а простановка КА – только после получения положительного
результата контроля реквизитов исходящего электронного сообщения (электронного
сообщения, снабженного ЗК) с реквизитами полученного платежного документа на
входе в АБС, на основании которого данная расчетная операция была совершена
(т.е. непосредственно после проверки неизменности реквизитов).
Просим сообщить примерные сроки
выполнения указанных работ.
Руководитель ________________ /_______________/
« » _______________ 2017 г.
Исполнитель:
Должность, ФИО, тел:
Продолжение по теме здесь.
Этот комментарий был удален автором.
ОтветитьУдалитьПохоже, что мы такого письма не получали.
ОтветитьУдалитьОтдельный вопрос про встраивание криптографии в соответствии с требованиями ПКЗ2005.
Или требования ПКЗ2005 традиционно побоку?
Вопрос по встраиванию криптографии Банка России (или других СКЗИ) в ПО разработчика АБС самый интересный. Как Вы правильно заметили, от требований к встраиванию (ПКЗ-2005 по 66-ому приказу ФСБ) зависит решение многих вопросов, например, должен ли Исполнитель иметь соответствующие лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, выступая, например, в качестве изготовителя ключевых документов? И т.д.
ОтветитьУдалитьПКЗ тут вообще ни причем - это же регулируется ПП-313 по лицензированию и указанный кейс под него попадает.
ОтветитьУдалить....касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры.... Про какие договоры идет речь? Разве не все банки являются клиентами БР?
ОтветитьУдалитьРоссийские? - все! Под договором может подразумеваться, например, Договор с Банком России “Об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России”
ОтветитьУдалитьВопрос возник, т.к. мы не получали подобного письма. Или его получили разработчики АБС и банки у которых АБС собственной разработки?
ОтветитьУдалитьНе получали - получите. АБС своя или покупная - не имеет значение.
УдалитьУ нас срок ответа в ЦБ до 10.02.2017, причём письмо пришло значительно позже чем в иных регионах. :)
ОтветитьУдалить