10. "Типовые правила внутреннего контроля в кредитной организации" (утв. Комитетом АРБ по вопросам ПОД/ФТ, протокол заседания Комитета N 24 от 01.12.2010)

10.1. Представление Банком в Уполномоченный орган сведений, предусмотренных Федеральным законом, осуществляется в виде ОЭС через территориальные учреждения Банка России (далее - территориальное учреждение).

10.2. Представление сведений филиалами и иными структурными подразделениями Банка осуществляется через головную организацию в соответствии с действующими внутренними документами Банка.

10.3. Передача-прием ОЭС Банком и территориальным учреждением осуществляются с применением средств криптографической защиты информации, принятых к использованию в Банке России.

10.4. Банк снабжает ОЭС кодом аутентификации (КА), затем зашифровывает его на ключах шифрования, используемых для обмена информацией с уполномоченным органом, после чего шифрованное сообщение повторно снабжается КА.

10.5. При формировании ОЭС допускается размещение в нем сведений о нескольких операциях, подлежащих обязательному контролю, а также иных операциях, связанных с легализацией (отмыванием) доходов, полученных преступным путем, и финансированием терроризма.

10.6. Подготовленный ОЭС Банк доставляет в территориальное учреждение по каналам связи или на магнитном носителе.

10.7. В исключительных случаях, когда по не зависящим от Банка причинам он не в состоянии самостоятельно подготовить ОЭС (катастрофы, стихийные бедствия, длительные аварийные отключения электроэнергии), допускается формирование Банком ОЭС на бумажном носителе в порядке, установленном действующим законодательством.

10.8. В случае приостановления Банком операции с денежными средствами или иным имуществом, а также при совершении операции по зачислению денежных средств, поступивших на счет физического или юридического лица, хотя бы одной из сторон которой является организация или физическое лицо, находящееся в Перечне экстремистов либо юридическое лицо, прямо или косвенно находящееся в собственности или под контролем таких организации или лица, либо физическое или юридическое лицо, действующее от имени или по указанию таких организации или лица (далее - операция, связанная с финансированием терроризма), Банк в день приостановления или совершения такой операции формирует отдельный ОЭС, содержащий сведения о данной операции, и немедленно направляет его в уполномоченный орган с признаком в имени файла, определяющим представление сведений об операциях, связанных с финансированием терроризма.

10.9. При совершении Клиентами операций, подлежащих обязательному контролю, за исключением операций, сведения о которых представляются в уполномоченный орган в порядке, предусмотренном пунктом 10.8, Банк формирует и направляет в уполномоченный орган ОЭС, содержащий сведения о таких операциях, до 16.00 по местному времени рабочего дня, следующего за днем совершения указанных операций. Время направления ОЭС может быть увеличено до 17:30 по согласованию с соответствующим территориальным учреждением Банка России.

10.10. В случае, если операция, подлежащая обязательному контролю, была выявлена Банком позже рабочего дня, следующего за днем совершения операции, Банк представляет сведения о такой операции в Уполномоченный орган в порядке, установленном пунктом 10.9, то есть не позднее дня, следующего за днем ее выявления.

10.11. При совершении Клиентами подозрительных операций Банк формирует и направляет в уполномоченный орган ОЭС, содержащий сведения о таких операциях, в порядке, установленном пунктом 10.9, то есть не позднее рабочего дня, следующего за днем выявления указанных операций. При этом датой выявления подозрительной операции является дата принятия решения о признании операции подозрительной Ответственным сотрудником Банка.

10.12. Банк направляет в Уполномоченный орган сведения о случаях отказа от заключения договора банковского счета (вклада) или от выполнения распоряжения клиента о совершении операции в порядке, установленном пунктом 10.9, то есть не позднее рабочего дня, следующего за днем отказа от заключения договора банковского счета (вклада), установления договорных отношений и/или совершения банковских операций.

10.13. Банк обеспечивает прием ИЭС территориального учреждения о принятии (непринятии) ОЭС по каналам связи или на магнитном носителе.

10.14. В случае получения Банком ИЭС территориального учреждения о непринятии ОЭС, направленного в уполномоченный орган, Банк повторно готовит ОЭС и направляет его в уполномоченный орган в день получения ИЭС территориального учреждения.

10.15. Банк обеспечивает прием ИЭС уполномоченного органа от территориального учреждения по каналам связи или на магнитном носителе.

10.16. ИЭС уполномоченного органа, направленный в Банк в отношении ОЭС, содержащий сведения об операциях, связанных с финансированием терроризма, и переданный в уполномоченный орган в соответствии с пунктом 10.8, не является основанием для продления срока приостановления или совершения указанной операции Банком.

10.17. В случае получения ИЭС Уполномоченного органа о непринятии ОЭС целиком Банк формирует исправленный ОЭС с признаком корректировки в имени файла.

10.18. В случае получения ИЭС Уполномоченного органа о непринятии сведений об отдельных операциях ОЭС Банк формирует исправленные сведения о данных операциях в составе нового ОЭС.

10.19. Исправленный ОЭС и/или ОЭС с исправленными сведениями об отдельных операциях направляется Банком в уполномоченный орган в порядке, установленном пунктом 10.9, то есть не позднее рабочего дня, следующего за днем получения Банком ИЭС Уполномоченного органа от территориального учреждения.

10.20. В случае неполучения Банком ИЭС Уполномоченного органа в течение 4 рабочих дней со дня направления ОЭС в Уполномоченный орган и принятия его территориальным учреждением Банк направляет письменный запрос в территориальное учреждение для выяснения причин недоставки ИЭС Уполномоченного органа.

10.21. ОЭС, направленные Банком в уполномоченный орган, по которым получены ИЭС о принятии их территориальным учреждением, а также указанные ИЭС и ИЭС Уполномоченного органа, полученные Банком в ответ на направленные ОЭС, хранятся в электронном виде не менее 5 лет со дня получения ИЭС Уполномоченного органа.

10.22. Передача ОЭС Банком осуществляются с применением СКЗИ: средств формирования КА и средств шифрования.

10.23. Установка и настройка СКЗИ на АРМ передачи-приема ОЭС Банка выполняются в присутствии администратора АРМ передачи-приема ОЭС, назначаемого в Банке. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

10.24. Банком утверждается порядок учета, хранения и использования носителей ключей КА и шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

10.25. Банком утверждается список лиц - ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и шифрования с указанием конкретной информации по каждому уполномоченному лицу.

10.26. Для хранения носителей секретных ключей КА и шифрования в помещении Банка устанавливаются металлические хранилища (сейфы), оборудованные приспособлениями для опечатывания и запирающими устройствами с двумя экземплярами ключей. Хранение носителей секретных ключей КА и шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом ответственным исполнителем.

10.27. Доступ неуполномоченных лиц к носителям секретных ключей КА и шифрования исключается.

10.28. По окончании рабочего дня, а также вне времени формирования и передачи-приема ОЭС и ИЭС носители секретных ключей КА и шифрования должны храниться в сейфах.

10.29. Не допускается:

- снимать несанкционированные копии с носителей секретных ключей КА и шифрования;

- знакомить с содержанием носителей секретных ключей КА и шифрования или передавать носители секретных ключей КА и шифрования лицам, к ним не допущенным;

- выводить секретные ключи КА и шифрования на дисплей (монитор) персональной электронной вычислительной машины (ПЭВМ) или принтер;

- устанавливать носитель секретных ключей КА и шифрования в считывающее устройство (дисковод) ПЭВМ АРМ передачи-приема ОЭС в непредусмотренных режимах функционирования системы обработки и передачи-приема ОЭС (ИЭС), а также в другие ПЭВМ;

- записывать на носитель секретных ключей КА и шифрования постороннюю информацию.

10.30. При компрометации секретного ключа КА и (или) ключа шифрования - событии, определенном владельцем ключа КА как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА и (или) ключом шифрования, Банк предпринимает меры для прекращения любых операций с ОЭС (ИЭС) с использованием этого ключа КА, а также письменно информирует о факте компрометации других участников обмена не позднее рабочего дня, следующего за днем компрометации.

10.31. При компрометации секретного ключа КА и (или) ключа шифрования необходимо вывести ключи этого КА из действия и организовать их внеплановую смену.

10.32. По факту компрометации секретного ключа КА и (или) ключа шифрования проводится служебное расследование, результаты которого отражаются в акте служебного расследования.

10.33. В случаях увольнения, перевода в другое подразделение или на другую должность, изменения функциональных обязанностей сотрудника, имеющего доступ к носителям секретных ключей КА и (или) ключей шифрования, должна быть проведена смена ключей, к которым он имел доступ.

10.34. Допускается использование в качестве носителей секретных ключей КА и (или) ключей шифрования любых поддерживаемых СКЗИ типов носителей. При изготовлении ключей (копий ключей) тип носителей, выбранных для размещения секретных ключей, регламентируется внутренними документами Банка. Секретные ключи шифрования, полученные Банком в территориальном учреждении, являются оригиналами. В Банке в соответствии с внутренними документами с оригинала изготавливается необходимое количество рабочих копий с использованием программного обеспечения СКЗИ на выбранный допустимый тип носителя.

10.35. При использовании в качестве носителей секретных ключей КА и ключей шифрования устройств, подключаемых к USB-порту ПЭВМ, принимаются все меры для исключения возможности несанкционированного копирования информации.