21 января 2017 г.

Письмо Банка России по доработке требований к АРМ КБР и необходимости доработки АБС

В продолжение обзора требований Положения Банка России от 24.08.2016 № 552-П

В связи с рассылкой писем Банка России от 20.01.2017 стал понятен смысл фразы “функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников” в Разделе 5 п. 5.1 Положения ЦБ РФ от 24.08.2016 № 552-П “О требованиях к защите информации в платежной системе Банка России:
Раздел 5. Требования к использованию технологических мер защиты информации
5.1. В целях обеспечения идентификации, аутентификации и авторизации клиента в системе интернет-банкинга, а так же определения перечня устройств, с использованием которых может осуществляться доступ к системе интернет-банкинга при переводе денежных средств посредством передачи ЭС в ПС БР, функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена ЭС с ПС БР или с использованием специальной компоненты автоматизированной банковской системы участников.”
В указанном Письме Банка России кредитным организациям предлагается функции формирования кодов аутентификации (КА) и защитных кодов (ЗК) перенести из АРМ КБР в АБС, доработав сответственно свои АБС.
Для этого кредитным организациям, очевидно, потребуется направить в адрес компании – разработчика АБС (или в адрес внутреннего подразделения, если АБС своя) информационное сообщение (ниже – мой примерный вариант текста) с изложением сути доработки в АБС как это сформулировано в Письме Банка России. А именно:
- провести работы по «встраиванию» средств криптографической защиты информации (СКЗИ) в собственные АБС для формирования кодов аутентификации (КА) и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования защитных кодов (ЗК)  и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС.
В информационном письме к разработчику АБС необходимо запросить информацию о возможных сроках доработки АБС, в части реализации в них функции подписания электронных сообщений (пакетов сообщений) и с учетом необходимости включения ЗК в электронные сообщения, в качестве их реквизитов. Затем направить полученные сроки от разработчиков АБС в Департамент информационных технологий Банка России до 17 февраля 2017 года (в одном сообщении от ДИТ Банка России стоит другой срок - . до 14(!) февраля 2017 года).
Необходимо учесть, что изменение использования программных средств клиента Банка России (ПС КБР) при взаимодействии с автоматизированными системами (АС) Банка России касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры, а также юридических лиц – клиентов кредитных организаций, с которыми начаты работы по включению в состав пользователей системы передачи финансовых сообщений Банка России (СПФС).
Также, возможно, потребуется внести в договор кредитной организации как с Банком России, так и с разработчиком АБС дополнительные условия, касающиеся порядка передачи разработчику АБС соответствующего СКЗИ для проведения указанных работ в АБС.

Руководителю компании-
разработчику АБС
 
Информационное письмо
 
Касается доработки автоматизированной банковской системы
с целью обмена финансовыми сообщениями с автоматизированными
системами Банка России
__.__.2017



Уважаемый Алгоритм Алгоритмович!

В соответствии с письмом Банка России от 20.01.2017 № ________/_____ (представлено в Приложении) просим провести доработку автоматизированной банковской системы (наименование АБС) с целью встраивания средств криптографической защиты информации (СКЗИ) в АБС (наименование АБС) для формирования кодов аутентификации (КА) и снабжения ими электронных сообщений (пакетов электронных сообщений), а также для формирования защитных кодов (ЗК) и включения их в состав реквизитов электронных сообщений в соответствии с действующим альбомом УФЭБС.
При проведении доработки АБС необходимо учесть, что механизм простановки ЗК под электронным сообщением должен исполняться в АБС только после совершения расчетной операции, а простановка КА – только после получения положительного результата контроля реквизитов исходящего электронного сообщения (электронного сообщения, снабженного ЗК) с реквизитами полученного платежного документа на входе в АБС, на основании которого данная расчетная операция была совершена (т.е. непосредственно после проверки неизменности реквизитов).

Просим сообщить примерные сроки выполнения указанных работ.

Руководитель                            ________________   /_______________/
«    » _______________ 2017 г.

Исполнитель:

Должность, ФИО, тел:

Продолжение по теме здесь.

9 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Похоже, что мы такого письма не получали.
    Отдельный вопрос про встраивание криптографии в соответствии с требованиями ПКЗ2005.
    Или требования ПКЗ2005 традиционно побоку?

    ОтветитьУдалить
  3. Вопрос по встраиванию криптографии Банка России (или других СКЗИ) в ПО разработчика АБС самый интересный. Как Вы правильно заметили, от требований к встраиванию (ПКЗ-2005 по 66-ому приказу ФСБ) зависит решение многих вопросов, например, должен ли Исполнитель иметь соответствующие лицензии на право осуществления отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами, выступая, например, в качестве изготовителя ключевых документов? И т.д.

    ОтветитьУдалить
  4. ПКЗ тут вообще ни причем - это же регулируется ПП-313 по лицензированию и указанный кейс под него попадает.

    ОтветитьУдалить
  5. ....касается только клиентов Банка России, с которыми заключены либо планируется заключить договоры.... Про какие договоры идет речь? Разве не все банки являются клиентами БР?

    ОтветитьУдалить
  6. Российские? - все! Под договором может подразумеваться, например, Договор с Банком России “Об обмене электронными сообщениями при переводе денежных средств в рамках платежной системы Банка России”

    ОтветитьУдалить
  7. Вопрос возник, т.к. мы не получали подобного письма. Или его получили разработчики АБС и банки у которых АБС собственной разработки?

    ОтветитьУдалить
    Ответы
    1. Не получали - получите. АБС своя или покупная - не имеет значение.

      Удалить
  8. У нас срок ответа в ЦБ до 10.02.2017, причём письмо пришло значительно позже чем в иных регионах. :)

    ОтветитьУдалить