ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

ПИСЬМО
от 11 ноября 2015 г. N 04-41-3/9673

О ФОРМЕ ДОГОВОРА
ПЕРЕДАЧИ-ПРИЕМА ОТЧЕТНОСТИ И ИНОЙ ИНФОРМАЦИИ О РИСКАХ
БАНКОВСКИХ ХОЛДИНГОВ В ВИДЕ ЭЛЕКТРОННЫХ СООБЩЕНИЙ,
СНАБЖЕННЫХ КОДОМ АУТЕНТИФИКАЦИИ

В целях обеспечения представления в Банк России отчетности и иной информации о рисках банковских холдингов, предусмотренной Указанием Банка России от 9 сентября 2015 года N 3777-У "О составлении и представлении в Банк России отчетности и иной информации о рисках банковского холдинга", зарегистрированным Министерством юстиции Российской Федерации 9 ноября 2015 года N 39615 ("Вестник Банка России" от 18 ноября 2015 года N 104), и Указанием Банка России от 25 октября 2013 года N 3087-У "О раскрытии и представлении банковскими холдингами консолидированной финансовой отчетности", зарегистрированным Министерством юстиции Российской Федерации 2 декабря 2013 года N 30527, 9 ноября 2015 года N 39617 ("Вестник Банка России" от 10 декабря 2013 года N 71, от 18 ноября 2015 года N 104), в виде электронных сообщений, снабженных кодом аутентификации, в порядке, установленном Указанием Банка России от 9 сентября 2015 года N 3783-У "О порядке представления головной организацией банковского холдинга в Банк России отчетности и иной информации о рисках банковского холдинга в виде электронного сообщения, снабженного кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 9 ноября 2015 года N 39618 ("Вестник Банка России" от 18 ноября 2015 года N 104) (далее - Указание Банка России N 3783-У), структурные подразделения Банка России организуют работу по заключению договоров между головной организацией банковского холдинга (управляющей компанией банковского холдинга - в случае возложения на нее обязанностей головной организации банковского холдинга) (далее - головная организация банковского холдинга (управляющая компания банковского холдинга) и Банком России о передаче-приеме отчетности банковского холдинга в виде электронных сообщений, снабженных кодом аутентификации. Форма договора прилагается.

Структурные подразделения Банка России, уполномоченные осуществлять прием отчетности и иной информации о рисках банковского холдинга и заключать указанные договоры, определяются в соответствии с Указанием Банка России от 9 сентября 2015 года N 3780-У "О порядке уведомления Банка России об образовании банковского холдинга, о создании управляющей компании банковского холдинга и предоставленных ей полномочиях", зарегистрированным Министерством юстиции Российской Федерации 9 ноября 2015 года N 39616 ("Вестник Банка России" от 18 ноября 2015 года N 104) (далее - уполномоченные структурные подразделения Банка России).

В случаях, определенных пунктом 3 Указания Банка России N 3783-У, отчетность и иная информация о рисках банковского холдинга представляется в Банк России кредитной организацией - участником банковского холдинга. При этом уполномоченные структурные подразделения Банка России заключают с кредитной организацией - участником банковского холдинга договор передачи-приема отчетности и иной информации о рисках банковского холдинга по форме приложения к настоящему письму Банка России либо дополнительное соглашение к договору передачи-приема отчетности кредитной организации, либо действуют в рамках ранее заключенного кредитной организацией с Банком России договора передачи-приема отчетности кредитной организации. В последнем случае кредитная организация - участник банковского холдинга, уполномоченная головной организацией банковского холдинга (управляющей компанией банковского холдинга) представлять отчетность и иную информацию о рисках банковского холдинга в Банк России, направляет в Банк России уведомление в произвольной форме о передаче ей указанных полномочий.

Регламент передачи-приема отчетности и иной информации о рисках банковских холдингов в виде электронных сообщений, снабженных кодом аутентификации, регистрационная карточка, порядок обеспечения информационной безопасности при передаче-приеме электронных сообщений, снабженных кодом аутентификации, порядок управления ключами кода аутентификации и ключами шифрования и порядок работы согласительной комиссии разрабатываются уполномоченными структурными подразделениями Банка России в соответствии с положениями, изложенными в приложениях 2 - 6 к договору.

Настоящее письмо подлежит официальному опубликованию в "Вестнике Банка России".

Первый заместитель
Председателя Центрального банка
Российской Федерации
А.Ю.СИМАНОВСКИЙ

Приложение
к письму Банка России
от 11 ноября 2015 года N 04-41-3/9673

Договор
передачи-приема отчетности и иной информации о рисках
банковского холдинга в виде электронного сообщения,
снабженного кодом аутентификации

г. ___________________                            "__" ____________ ____ г.

    Центральный банк Российской Федерации в лице __________________________
__________________________________________________________________________,
      (Ф.И.О., должность и наименование уполномоченного структурного
      подразделения Банка России (за исключением Департамента надзора
       за системно значимыми кредитными организациями Банка России)
действующего на основании доверенности от "__" __________________ ____ года
                                               (число, месяц, год)
N ______________, с одной стороны, и ______________________________________
     (номер                               (полное наименование головной
  доверенности)                         организации банковского холдинга,
__________________________________________________________________________,
                управляющей компании банковского холдинга)
в лице ___________________________________________________________________,
                               (Ф.И.О., должность)
действующего на основании ________________________________________________,
                           (Устава/доверенности, число, месяц, год, номер
                                            (при наличии)
с  другой  стороны,  в  дальнейшем совместно именуемые "Стороны", заключили
настоящий Договор о нижеследующем:

1. Предмет Договора

    1.1.   Настоящий   Договор   устанавливает   порядок  участия  головной
организации   банковского   холдинга   (управляющей   компании  банковского
холдинга)
___________________________________________________________________________
      (полное наименование головной организации банковского холдинга
___________________________________________________________________________
                (управляющей компании банковского холдинга)
(далее  -  ГОБХ  (УКБХ)  в  передаче-приеме  отчетности и иной информации о
рисках  банковского  холдинга  в  виде электронных сообщений (далее - ОЭС),
снабженных кодом аутентификации (далее - КА), в
___________________________________________________________________________
      (полное наименование уполномоченного структурного подразделения
       Банка России (за исключением Департамента надзора за системно
             значимыми кредитными организациями Банка России)
и  обязательства  Сторон  по  обеспечению  информационной  безопасности при
передаче-приеме электронных сообщений (далее - ЭС).

1.2. Стороны признают, что выполнение условий настоящего Договора является достаточным для обеспечения передачи ГОБХ (УКБХ) и приема уполномоченным структурным подразделением Банка России в электронном виде отчетности и иной информации о рисках банковского холдинга, предусмотренной нормативными актами Банка России, регламентирующими представление отчетности и иной информации о рисках банковских холдингов в Банк России.

2. Общие положения

2.1. В Договоре используются понятия и сокращения, приведенные в пункте 1.2 Указания Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированного Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353, 28 ноября 2007 года N 10558 ("Вестник Банка России" от 2 марта 2005 года N 12, от 5 декабря 2007 года N 67) (далее - Указание Банка России N 1546-У), а также следующие понятия:

автоматизированное рабочее место для передачи ЭС (далее - АРМ передачи ЭС) - комплекс программных и аппаратных средств, используемых ГОБХ (УКБХ) для передачи ОЭС в уполномоченное структурное подразделение Банка России и приема извещения в форме электронного сообщения (далее - ИЭС) уполномоченного структурного подразделения Банка России;

автоматизированное рабочее место для приема ЭС (далее - АРМ приема ЭС) - комплекс программных и аппаратных средств, используемых уполномоченным структурным подразделением Банка России для приема ОЭС ГОБХ (УКБХ) и передачи ИЭС уполномоченного структурного подразделения Банка России ГОБХ (УКБХ);

администратор АРМ передачи ЭС - уполномоченное лицо, назначенное ГОБХ (УКБХ) для организации передачи ЭС с использованием АРМ передачи ЭС и взаимодействия с уполномоченным структурным подразделением Банка России по вопросам передачи ЭС;

публичная (открытая) часть ключа КА (далее - открытый ключ КА) - данные, предназначенные для аутентификации ЭС получателем. Для выполнения процедуры аутентификации допускается также использование открытого ключа КА в виде сертификата ключа КА;

секретная часть ключа КА (далее - секретный ключ КА) - данные, предназначенные для создания КА отправителем;

компрометация секретного ключа КА - событие, определенное владельцем ключа КА как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА;

ключ шифрования - уникальные данные, используемые при шифровании и расшифровании ЭС;

пользователь ключа КА - лицо, назначенное владельцем ключа КА и уполномоченное им использовать ключ КА от имени владельца ключа КА;

регистрационный центр - подразделение, функционирующее в уполномоченном структурном подразделении Банка России, выполняющее функции регистрации ключей КА или сертификатов ключей КА и управления ключами КА и ключами шифрования ГОБХ (УКБХ) и уполномоченных структурных подразделений Банка России;

регистрационная карточка ключа КА ГОБХ (УКБХ) или сертификата ключа КА (далее - регистрационная карточка) - документ, содержащий распечатку открытого ключа КА ГОБХ (УКБХ) в шестнадцатеричной системе счисления и идентифицирующие ГОБХ (УКБХ) реквизиты, подписанный руководителем и главным бухгалтером ГОБХ (УКБХ) и заверенный оттиском печати;

сертификат ключа КА - совокупность данных, содержащая открытый ключ КА и иную идентифицирующую владельца ключа КА информацию, снабженная КА регистрационного центра;

средства шифрования - аппаратные, программные, программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации при передаче по каналам связи;

согласительная комиссия - комиссия, создаваемая Сторонами для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.

2.2. В соответствии с настоящим Договором Стороны приобретают права и исполняют обязанности в качестве участников передачи-приема ЭС.

3. Условия участия в передаче-приеме ЭС

3.1. Для участия в передаче-приеме ЭС ГОБХ (УКБХ) выполняет следующие действия:

назначает лиц, ответственных за передачу ОЭС в уполномоченное структурное подразделение Банка России, в том числе администратора АРМ передачи ЭС и пользователей ключа КА;

самостоятельно комплектует АРМ передачи ЭС необходимыми аппаратными, системными, сетевыми и телекоммуникационными средствами, программным обеспечением, средствами аутентификации в соответствии с рекомендацией уполномоченного структурного подразделения Банка России к АРМ передачи ЭС;

заключает договор <1> о передаче ей уполномоченным структурным подразделением Банка России программного и (или) иного обеспечения АРМ передачи ЭС по форме, определенной уполномоченным структурным подразделением Банка России

______________________________________________________________________ <2>;
         (указать вид программного и (или) иного обеспечения)

--------------------------------

<1> Форма договора о передаче ГОБХ (УКБХ) структурным подразделением Банка России программного и (или) иного обеспечения АРМ передачи ЭС определяется структурным подразделением Банка России.

<2> Это условие включается в договор, если для создания необходимого интерфейса для передачи-приема ЭС ГОБХ (УКБХ) использует программное и (или) иное обеспечение АРМ передачи ЭС, предоставляемое структурным подразделением Банка России.

осуществляет в тестовом режиме передачу тестовых данных с АРМ передачи ЭС;

после выполнения перечисленных действий представляет в уполномоченное структурное подразделение Банка России Акт о готовности к началу представления ОЭС в уполномоченное структурное подразделение Банка России по форме приложения 1 к настоящему Договору.

3.2. Для участия в передаче-приеме ЭС уполномоченное структурное подразделение Банка России выполняет следующие действия:

сообщает ГОБХ (УКБХ) сведения, необходимые для организации у нее АРМ передачи ЭС и обеспечения интерфейса этого АРМ с АРМ приема ЭС;

в случае заключения договора о передаче программного и (или) иного обеспечения АРМ передачи ЭС передает ГОБХ (УКБХ) для установки или устанавливает программное и (или) иное обеспечение, соответствующие комплекты эксплуатационной документации;

    регистрирует ГОБХ (УКБХ) в качестве участника передачи-приема ЭС, о чем
сообщает ГОБХ (УКБХ) в срок не позднее ____________________________________
                                                 (указать срок)
путем ____________________________________________________________________;
                         (указать способ уведомления)

регистрирует ключ КА ГОБХ (УКБХ);

передает ГОБХ (УКБХ) открытый ключ КА уполномоченного структурного подразделения Банка России;

осуществляет в тестовом режиме прием тестовых данных на АРМ приема ЭС.

3.3. После выполнения Сторонами действий, указанных в пунктах 3.1 и 3.2 настоящего Договора, в том числе получения уполномоченным структурным подразделением Банка России Акта о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в уполномоченное структурное подразделение Банка России, уполномоченное структурное подразделение Банка России письменно сообщает ГОБХ (УКБХ) дату готовности к приему ОЭС.

Акт о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России должен храниться в структурном подразделении Банка России и в ГОБХ (УКБХ) в течение всего срока действия настоящего Договора.

3.4. Основанием для прекращения участия ГОБХ (УКБХ) в передаче-приеме ЭС является прекращение действия настоящего Договора.

4. Общие принципы передачи-приема ЭС

4.1. При передаче-приеме ЭС Сторонами используются форматы, определенные уполномоченным структурным подразделением Банка России.

Стороны осуществляют передачу-прием ОЭС в соответствии с регламентом передачи-приема ОЭС между ГОБХ (УКБХ) и уполномоченным структурным подразделением Банка России (далее - регламент передачи-приема ОЭС), основные требования к которому определены приложением 2 к настоящему Договору.

    4.2.   Прием   (отказ   в  приеме)  ОЭС  подтверждается  уполномоченным
структурным  подразделением  Банка  России  направлением  ГОБХ (УКБХ) ИЭС о
приеме  (отказе  в  приеме)  ОЭС.  При  отказе  в приеме ОЭС уполномоченное
структурное  подразделение  Банка  России  в  соответствии  с  пунктом  3.3
Указания  Банка  России  N  1546-У  обязано  указать  причину отказа в виде
текстового   файла  в  составе  ИЭС.  Если  ГОБХ  (УКБХ)  не  получит  ИЭС,
подтверждающего его прием (отказ в приеме) ОЭС в соответствии с регламентом
передачи-приема  ОЭС,  она  вправе запросить у уполномоченного структурного
подразделения Банка России результаты проверки ОЭС _______________________.
                                                       (указать способ
                                                    осуществления запроса)
Время  направления  ИЭС  о  приеме ОЭС, так же как и время направления ИЭС,
включающего  протокол  контроля,  фиксируется  каждой  Стороной  в  журнале
внутреннего   учета   и  контроля  прохождения  информации.  Форма  журнала
внутреннего  учета и контроля прохождения информации разрабатывается каждой
Стороной самостоятельно.

4.3. Передача ГОБХ (УКБХ) ОЭС в уполномоченное структурное подразделение Банка России осуществляется с использованием средств телекоммуникаций, а при невозможности их использования - путем передачи ОЭС, записанных на магнитных носителях (порядок перехода с одного способа на другой и документооборот при использовании магнитных носителей должны быть приведены в регламенте передачи-приема ОЭС).

4.4. При передаче-приеме ЭС с использованием средств телекоммуникаций для защиты информации применяются средства шифрования, определенные уполномоченным структурным подразделением Банка России.

4.5. С началом передачи-приема ОЭС ГОБХ (УКБХ) обеспечивает представление в Банк России отчетности только в виде ЭС в порядке, установленном Указанием Банка России от 9 сентября 2015 года N 3783-У "О порядке представления головной организацией банковского холдинга в Банк России отчетности и иной информации о рисках банковского холдинга в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 9 ноября 2015 года N 39618 ("Вестник Банка России" от 18 ноября 2015 года N 104) (далее - Указание Банка России N 3783-У), и Указанием Банка России N 1546-У по перечню, доведенному уполномоченным структурным подразделением Банка России до ГОБХ (УКБХ) отдельным письмом.

5. Использование КА при передаче-приеме ЭС и управление ключами КА и шифрования

5.1. Стороны признают, что:

внесение изменений в ЭС, снабженное КА, приводит к отрицательному результату проверки КА;

подделка ЭС, снабженного КА, невозможна без использования секретного ключа КА владельца КА;

каждая Сторона несет ответственность за сохранность своих секретных ключей КА и за действия своих сотрудников при использовании АРМ передачи ЭС и АРМ приема ЭС.

5.2. Для создания ключей КА, создания и проверки КА в ЭС Стороны используют средства аутентификации, определенные уполномоченным структурным подразделением Банка России, и признают их достаточными для подтверждения подлинности и контроля целостности ЭС.

    5.3.   Ключи   КА   подлежат   регистрации  в  регистрационном  центре,
функционирующем в _________________________________________________________
__________________________________________________________________________.
            (указать наименование уполномоченного структурного
                        подразделения Банка России)
Для   этого   в   соответствии   с  приложением  3  к  настоящему  Договору
изготавливается    регистрационная   карточка.   Регистрационная   карточка
изготавливается в _________________________________________________________
__________________________________________________________________________.
           (указать место изготовления регистрационной карточки)

Регистрационная карточка изготавливается в двух экземплярах, один из которых хранится в регистрационном центре, другой - в ГОБХ (УКБХ). Ключ КА ГОБХ (УКБХ) считается зарегистрированным с даты получения регистрационным центром оформленного экземпляра регистрационной карточки ключа КА ГОБХ (УКБХ).

5.4. ГОБХ (УКБХ) приобретает право использовать зарегистрированный в регистрационном центре ключ КА с даты готовности уполномоченного структурного подразделения Банка России к приему ОЭС в соответствии с пунктом 3.3 настоящего Договора.

Порядок обращения с секретными ключами КА ГОБХ (УКБХ), обеспечивающий их конфиденциальность, и допуск к ним конкретных пользователей устанавливаются внутренними документами ГОБХ (УКБХ) и Порядком обеспечения информационной безопасности при передаче-приеме ЭС в соответствии с приложением 4 к настоящему Договору.

5.5. Управление ключами КА и ключами шифрования в течение всего срока действия настоящего Договора осуществляется регистрационным центром и регламентируется Порядком управления ключами КА и ключами шифрования в соответствии с приложением 5 к настоящему Договору, а также внутренними документами ГОБХ (УКБХ).

5.6. Плановый срок действия ключей КА определяется регистрационным центром.

5.7. Плановая смена ключей КА организуется регистрационным центром при соответствующем уведомлении ГОБХ (УКБХ).

5.8. Внеплановая смена ключей КА организуется регистрационным центром и может производиться как по инициативе уполномоченного структурного подразделения Банка России, так и ГОБХ (УКБХ) в случае компрометации секретного ключа КА.

При каждой смене ключа КА оформляется новая регистрационная карточка в порядке, предусмотренном пунктом 5.3 настоящего Договора.

5.9. После ввода в действие новых ключей КА действовавшие прежде секретные ключи КА уничтожаются, а открытые ключи КА хранятся уполномоченным структурным подразделением Банка России и ГОБХ (УКБХ) в течение всего срока хранения ОЭС, для подтверждения подлинности и контроля целостности которых они могут быть использованы.

Уничтожение открытых ключей КА после истечения срока их хранения осуществляется уполномоченным структурным подразделением Банка России и ГОБХ (УКБХ) самостоятельно.

6. Права и обязанности уполномоченного структурного подразделения Банка России

6.1. Уполномоченное структурное подразделение Банка России имеет следующие права:

отказывать ГОБХ (УКБХ) в приеме ОЭС с указанием причины отказа;

запрашивать с обоснованием причин копию ОЭС на бумажном носителе, оформленную в соответствии с требованиями нормативных актов Банка России;

изменять перечень ОЭС, подлежащих передаче, и их форматы;

    вносить    изменения   в   регламент   передачи-приема   ОЭС,   порядок
осуществления          контроля         ОЭС,          с          письменным
уведомлением _____________________________________________________________,
                      (указать срок, в течение которого должно быть
                                представлено уведомление)
с указанием даты вступления указанных изменений в силу.

6.2. Уполномоченное структурное подразделение Банка России обязано:

принимать ОЭС при соблюдении ГОБХ (УКБХ) настоящего Договора;

устанавливать регламент передачи-приема ОЭС, перечень и форматы передаваемой ОЭС, порядок осуществления контроля ОЭС;

соблюдать регламент передачи-приема ОЭС;

вести архивы ЭС;

хранить эталоны программных средств, предназначенных для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ЭС, для создания и проверки КА которых использовались указанные средства;

организовывать смену ключей КА;

способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов;

своевременно информировать ГОБХ (УКБХ) обо всех случаях возникновения технических неисправностей или других обстоятельствах, препятствующих приему ЭС.

7. Права и обязанности ГОБХ (УКБХ)

7.1. При передаче ОЭС ГОБХ (УКБХ) имеет право обращаться в структурное подразделение Банка России с запросами по вопросам передачи ОЭС.

7.2. ГОБХ (УКБХ) обязана:

передавать ОЭС в установленном уполномоченным структурным подразделением Банка России порядке;

предоставлять членам согласительной комиссии доступ в помещение, где размещается АРМ передачи ЭС ГОБХ (УКБХ), для проведения проверок соблюдения ГОБХ (УКБХ) условий настоящего Договора в случаях рассмотрения спорных вопросов при передаче-приеме ЭС;

обеспечивать сохранность, целостность и работоспособность АРМ передачи ЭС;

информировать уполномоченное структурное подразделение Банка России о возникновении обстоятельств непреодолимой силы и невозможности передачи ОЭС, неисправностях в работе АРМ передачи ЭС и письменно подтверждать наличие этих событий с указанием обстоятельств, при которых они возникли;

использовать АРМ передачи ЭС ГОБХ (УКБХ) только в целях, установленных настоящим Договором, без права передачи третьим лицам или копирования;

обеспечивать доступ к АРМ передачи ЭС только уполномоченным сотрудникам;

соблюдать регламент передачи-приема ОЭС;

соблюдать установленный порядок управления ключами КА и шифрования;

вести архивы ОЭС в установленном ГОБХ (УКБХ) порядке;

хранить программные средства, предназначенные для создания и проверки КА, а также эксплуатационную документацию на эти средства в течение сроков хранения ОЭС, для создания и проверки КА которых они использовались;

    в срок до ____________________ информировать уполномоченное структурное
                 (указать срок)
подразделение  Банка  России  о  смене  лиц  (руководителя и (или) главного
бухгалтера),  подписавших  регистрационную  карточку  ключа КА ГОБХ (УКБХ),
ответственных  за  передачу  ОЭС в уполномоченное структурное подразделение
Банка  России,  в  том числе администратора АРМ передачи ЭС и пользователей
ключа  КА, представив надлежащим образом заверенную копию распорядительного
акта  ГОБХ  (УКБХ)  об  их  (его)  назначении, и либо письменно подтвердить
продолжение  действия  ключа КА и (или) ключа шифрования, либо инициировать
внеплановую смену ключа КА и (или) ключа шифрования;
    в срок до ____________________ информировать уполномоченное структурное
                 (указать срок)
подразделение  Банка России обо всех случаях технических неисправностей или
других обстоятельствах, препятствующих передаче ОЭС;

способствовать работе согласительной комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи ОЭС.

8. Обеспечение конфиденциальности

    Сведения о ключах КА и ключах шифрования, иные сведения _______________
                                                            (указать какие)
____________________________________ не подлежат передаче третьим лицам, за
исключением случаев, установленных законодательством Российской Федерации.

9. Рассмотрение спорных вопросов, возникающих при исполнении настоящего Договора

Для рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием возникновения этих вопросов, и в необходимых случаях для подтверждения подлинности и контроля целостности ЭС уполномоченными представителями Сторон может быть создана согласительная комиссия, порядок работы которой изложен в приложении 6 к настоящему Договору.

10. Порядок прекращения представления отчетности в виде ЭС

10.1. Настоящий Договор вступает в силу с даты его подписания обеими Сторонами и действует в течение неопределенного срока.

10.2. Внесение уполномоченным структурным подразделением Банка России изменений в приложение 2 к настоящему Договору в соответствии с пунктом 6.1 настоящего Договора оформляется в виде документа, подписываемого уполномоченным должностным лицом данного структурного подразделения Банка России, направляемого ГОБХ (УКБХ), являющегося неотъемлемой частью настоящего Договора и вступающего в силу начиная с даты, указанной в уведомлении уполномоченного структурного подразделения Банка России.

    10.3.  Действие настоящего Договора прекращается по инициативе одной из
Сторон.  При  этом  Сторона-инициатор  должна  уведомить  другую  Сторону о
предстоящем  прекращении  действия  Договора  направлением  другой  Стороне
соответствующего уведомления не позднее ___________________________________
                                                 (указать срок)
календарных дней до даты прекращения действия Договора.

10.4. Уполномоченное структурное подразделение Банка России в одностороннем порядке вправе прекратить действие настоящего Договора в следующих случаях:

несогласия ГОБХ (УКБХ) с изменениями, вносимыми в настоящий Договор уполномоченным структурным подразделением Банка России, в случаях, установленных настоящим Договором;

нарушения ГОБХ (УКБХ) требований к передаче ОЭС и обеспечению безопасности при передаче-приеме ЭС, предусмотренных Указанием Банка России N 3783-У и Указанием Банка России N 1546-У, а также настоящим Договором.

11. Прочие условия

11.1. Права и обязанности Сторон по настоящему Договору не могут быть уступлены или переданы третьим лицам.

11.2. По не урегулированным настоящим Договором вопросам Стороны руководствуются законодательством Российской Федерации, в том числе нормативными актами Банка России.

11.3. Неотъемлемой частью настоящего Договора являются следующие приложения:

форма Акта о готовности к началу представления отчетности и иной информации о рисках банковского холдинга в виде электронных сообщений (ОЭС) в уполномоченное структурное подразделение Банка России (приложение 1);

регламент передачи-приема ОЭС между ГОБХ (УКБХ) и уполномоченным структурным подразделением Банка России (приложение 2);

регистрационная карточка (приложение 3);

порядок обеспечения информационной безопасности при передаче-приеме ЭС (приложение 4);

порядок управления ключами КА и ключами шифрования (приложение 5);

порядок работы согласительной комиссии (приложение 6).

11.4. Все изменения к настоящему Договору, за исключением условий, предусмотренных пунктом 10.2 настоящего Договора, оформляются Дополнительными соглашениями и подписываются уполномоченными представителями Сторон.

11.5. Настоящий Договор составлен в двух экземплярах, имеющих одинаковую юридическую силу, на ____ листах каждый. Один из экземпляров хранится в уполномоченном структурном подразделении Банка России, другой - в ГОБХ (УКБХ).

    Центральный банк Российской Федерации:            ГОБХ (УКБХ):

Приложение 1
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от __________ N ______

                                                УТВЕРЖДАЮ
                                                Руководитель
                                                ___________________________
                                                        (ГОБХ (УКБХ)
                                                ___________________________
                                                "__" ______________ ____ г.

                                    АКТ
              о готовности к началу представления отчетности
          и иной информации о рисках банковского холдинга в виде
         электронных сообщений (ОЭС) в уполномоченное структурное
                        подразделение Банка России

г. __________________                              "__" ___________ ____ г.

    Комиссия, назначенная ________________________________________________,
                             (вид, номер и дата распорядительного акта)
__________________________________________________________________________,
                         (наименование ГОБХ (УКБХ)
в составе:
    1. ____________________________________________________________________
    2. ____________________________________________________________________
    3. ____________________________________________________________________
    4. ____________________________________________________________________
провела проверку готовности _______________________________________________
                                       (наименование ГОБХ (УКБХ)
к  началу  представления  отчетности  в  виде электронных сообщений (ОЭС) в
уполномоченное структурное подразделение Банка России.
    Комиссия установила следующее:
    1. В части реализации организационных мер:
___________________________________________________________________________
___________________________________________________________________________
    2. В  части  выполнения   рекомендаций   уполномоченного   структурного
подразделения Банка России к АРМ передачи ЭС ГОБХ (УКБХ):
___________________________________________________________________________
___________________________________________________________________________
    3. В части обеспечения информационной безопасности:
___________________________________________________________________________
___________________________________________________________________________

    Приложения:
    1. Акт об установке АРМ передачи ЭС <1>
    2. Акт об установке средств защиты информации <2>
    3.   Надлежащим  образом  заверенная  копия  распорядительного  акта  о
назначении  лиц, ответственных за передачу ОЭС в уполномоченное структурное
подразделение  Банка  России,  в том числе администратора АРМ передачи ЭС и
пользователей ключа КА.

    Заключение:
___________________________________________________________________________
___________________________________________________________________________
    Настоящий  акт  составлен на ____ страницах в двух экземплярах, имеющих
одинаковую юридическую силу.

    Члены комиссии:
Ф.И.О. ____________________________________________________________________
                                    (подпись)
Ф.И.О. ____________________________________________________________________
                                    (подпись)
Ф.И.О. ____________________________________________________________________
                                    (подпись)
Ф.И.О. ____________________________________________________________________
                                    (подпись)

--------------------------------

<1> Акт составляется в произвольной форме, содержание которой должно отражать соответствие рекомендациям к АРМ передачи ЭС уполномоченного структурного подразделения Банка России. Акт утверждается руководителем ГОБХ (УКБХ).

<2> Акт составляется в произвольной форме, в нем должны быть приведены контрольные значения средств контроля целостности программного обеспечения средства криптографической защиты информации, установленного на АРМ передачи ЭС, и программного обеспечения по контролю средств контроля целостности. Акт утверждается руководителем ГОБХ (УКБХ).

Приложение 2
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от __________ N ______

РЕГЛАМЕНТ
ПЕРЕДАЧИ-ПРИЕМА ОЭС МЕЖДУ ГОБХ (УКБХ) И УПОЛНОМОЧЕННЫМ
СТРУКТУРНЫМ ПОДРАЗДЕЛЕНИЕМ БАНКА РОССИИ

В регламенте передачи-приема ОЭС указывается следующая информация:

1. Время начала и окончания передачи-приема ОЭС.

2. Описание схемы документооборота между ГОБХ (УКБХ) и уполномоченным структурным подразделением Банка России.

3. Способ и порядок передачи ОЭС.

4. Сеансы передачи ОЭС.

5. Порядок подтверждения подлинности и контроля целостности и проверки соответствия ОЭС требованиям, установленным Указанием Банка России N 3783-У и Указанием Банка России N 1546-У, с указанием времени, способа передачи и предельных сроков, в течение которых уполномоченное структурное подразделение Банка России должно сообщить ГОБХ (УКБХ) о результатах контроля, а также действий Сторон при отрицательных результатах проведенного контроля.

6. Реквизиты электронной почтовой системы ГОБХ (УКБХ) и уполномоченного структурного подразделения Банка России.

7. Контактные телефоны уполномоченного структурного подразделения Банка России.

Приложение 3
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от __________ N ______

РЕГИСТРАЦИОННАЯ КАРТОЧКА <1>

--------------------------------

<1> Разрабатывается в уполномоченном структурном подразделении Банка России в зависимости от функциональных возможностей конкретного средства аутентификации, применяемого при передаче-приеме ЭС.

1. Обязательными реквизитами регистрационной карточки являются:

наименование уполномоченного структурного подразделения Банка России;

наименование ГОБХ (УКБХ);

наименование применяемого средства аутентификации;

информация, идентифицирующая ключ КА (идентификатор и (или) номер КА, идентификатор и (или) номер серии);

распечатка открытого ключа КА ГОБХ (УКБХ) в шестнадцатеричной системе счисления;

дата изготовления ключа КА;

даты начала и окончания срока действия ключа КА;

Ф.И.О., должность и подписи руководителя и главного бухгалтера ГОБХ (УКБХ), заверенные оттиском печати;

Ф.И.О., должность и подпись администратора регистрационного центра.

Кроме перечисленных обязательных реквизитов, регистрационная карточка может содержать иные реквизиты.

2. Регистрационная карточка может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна в обязательном порядке содержать подписи указанных в регистрационной карточке должностных лиц ГОБХ (УКБХ), заверенные оттиском печати.

Приложение 4
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от __________ N ______

ПОРЯДОК
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ЭС <1>

--------------------------------

<1> Разрабатывается уполномоченным структурным подразделением Банка России с учетом изложенных требований.

1. Передача-прием ЭС между ГОБХ (УКБХ) и уполномоченным структурным подразделением Банка России осуществляются с применением средств криптографической защиты информации (далее - СКЗИ): средств аутентификации и шифрования. Конкретные СКЗИ и порядок их использования определяются уполномоченным структурным подразделением Банка России.

2. Установка и настройка СКЗИ на АРМ передачи ЭС ГОБХ (УКБХ) выполняются в присутствии администратора АРМ передачи ЭС, назначаемого ГОБХ (УКБХ). При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

3. Технологический процесс передачи-приема и обработки ЭС с использованием СКЗИ должен быть регламентирован структурным подразделением Банка России и обеспечен инструктивными и методическими материалами.

4. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

5. ГОБХ (УКБХ) приобретает средство формирования ключей КА (по рекомендации уполномоченного структурного подразделения Банка России) либо получает его от уполномоченного структурного подразделения Банка России и изготавливает ключи КА самостоятельно. Открытые ключи КА ГОБХ (УКБХ) должна направить на регистрацию в регистрационный центр.

6. В соответствии с разработанным уполномоченным структурным подразделением Банка России порядком управления ключами КА и ключами шифрования ключи шифрования, предназначенные для обеспечения защиты информации при передаче ЭС по каналам связи, предоставляются ГОБХ (УКБХ) уполномоченным структурным подразделением Банка России с оформлением акта их приема-передачи по форме, определенной уполномоченным структурным подразделением Банка России, либо изготавливаются ГОБХ (УКБХ) самостоятельно и регистрируются уполномоченным структурным подразделением Банка России с оформлением документов по форме, определенной уполномоченным структурным подразделением Банка России.

7. Каждая из Сторон утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием для каждого конкретного лица, к каким ключам это лицо имеет доступ). Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.

8. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться хранилища (металлические шкафы, сейфы), оборудованные внутренними замками (далее - хранилище). Хранение носителей ключевой информации с секретными ключами КА допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА.

9. По окончании рабочего дня, а также вне времени составления и передачи-приема ЭС носители ключевой информации с секретными ключами КА или ключами шифрования должны помещаться в хранилище.

10. Не допускается:

снимать несанкционированные копии с носителей ключевой информации;

знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;

выводить секретные ключи КА или ключи шифрования на дисплей (монитор) ПЭВМ или принтер;

устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ПЭВМ, на которой программные средства передачи-приема ОЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ПЭВМ;

записывать на носители ключевой информации постороннюю информацию.

11. При компрометации секретного ключа КА или ключа шифрования Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации (утраты) регистрационный центр, который организует внеплановую смену ключей КА или ключей шифрования.

12. По факту компрометации ключа КА или ключа шифрования Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в акте <1> о служебном расследовании.

--------------------------------

<1> Форма акта о служебном расследовании разрабатывается уполномоченным структурным подразделением Банка России самостоятельно.

13. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника соответствующей Стороны, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена смена ключей, к которым указанный сотрудник имел доступ.

Приложение 5
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от __________ N ______

ПОРЯДОК УПРАВЛЕНИЯ КЛЮЧАМИ КА И КЛЮЧАМИ ШИФРОВАНИЯ

Порядок разрабатывается на основании положений приложения 4 к настоящему Договору и эксплуатационной документации на используемые средства криптографической защиты информации.

В порядке управления ключами КА и ключами шифрования необходимо отразить следующие вопросы:

1. Порядок изготовления ключей КА и ключей шифрования ГОБХ (УКБХ).

2. Порядок регистрации ключей КА и ключей шифрования.

3. Порядок плановой смены ключей КА и ключей шифрования.

4. Порядок действия в случае компрометации ключей КА и ключей шифрования.

5. Порядок действий с ключами КА и ключами шифрования в случае прекращения передачи-приема ЭС.

Приложение 6
к Договору передачи-приема
отчетности и иной информации
о рисках банковского холдинга
в виде электронного сообщения,
снабженного кодом аутентификации
от ______________ N _____

ПОРЯДОК РАБОТЫ СОГЛАСИТЕЛЬНОЙ КОМИССИИ <1>

--------------------------------

<1> Разрабатывается уполномоченным структурным подразделением Банка России с учетом изложенных требований.

1. Согласительная комиссия (далее - комиссия) создается Сторонами с целью рассмотрения спорных вопросов при передаче-приеме ЭС, установления фактических обстоятельств, послуживших основанием их возникновения, а также в необходимых случаях для подтверждения подлинности и контроля целостности ЭС.

2. При возникновении спорных вопросов по передаче-приему ЭС Сторона, предъявляющая претензии (далее - Сторона-инициатор), направляет другой Стороне заявление, подписанное уполномоченным должностным лицом, с подробным изложением этих вопросов и предложением создать комиссию. Заявление должно содержать персональный состав (фамилия и занимаемая должность) представителей Стороны-инициатора, которые будут участвовать в работе комиссии, место, время и дату сбора комиссии (не позднее 7 дней со дня отправления заявления).

При этом до подачи заявления Стороне-инициатору рекомендуется убедиться в целостности своего программного обеспечения, неизменности используемой ключевой информации, а также отсутствии несанкционированных действий со стороны сотрудников, которым предоставлен доступ к АРМ передачи (приема) ЭС.

3. В состав комиссии должно входить равное количество представителей каждой Стороны (до пяти человек, включая представителей службы безопасности, юридической службы и иных подразделений), а также в случае необходимости независимые специалисты.

Члены комиссии от каждой Стороны назначаются распорядительными актами соответствующей Стороны. В случае необходимости привлечения независимых специалистов, имеющих официально подтвержденную квалификацию, специалист считается назначенным только при согласии обеих Сторон, выраженном в письменной форме.

Порядок оплаты работы независимых специалистов в комиссии определяется по предварительному согласованию Сторон.

    4. Комиссия создается на срок до ________________ дней.
                                      (указать срок)

В исключительных случаях срок работы комиссии по согласованию Сторон может быть продлен до 30 дней.

5. Стороны обязуются способствовать работе комиссии и не допускать отказа от предоставления необходимых документов и возможности ознакомления с условиями и порядком работы своих программных и аппаратных средств, используемых для передачи-приема ЭС.

6. Работа комиссии проходит в два этапа.

6.1. На первом этапе комиссия осуществляет контроль целостности (путем расчета контрольных значений) самой программы, с помощью которой осуществляется контроль целостности программного обеспечения средств криптографической защиты информации (далее - ПО СКЗИ) АРМ передачи ЭС, и контроль целостности ПО СКЗИ, установленного на АРМ передачи ЭС. Полученные результаты сравниваются со значениями, записанными в Акте о готовности к началу представления отчетности в виде электронных сообщений (ОЭС) в структурное подразделение Банка России. При их совпадении данное ПО СКЗИ АРМ передачи ЭС принимается к использованию в работе комиссии. При наличии в составе СКЗИ, применяемого при передаче-приеме ЭС, средств разбора разногласий (АРМ разбора конфликтных ситуаций) комиссия может в своей работе использовать эти средства.

При необходимости комиссии передаются: открытый ключ КА регистрационного центра, открытые ключи КА ГОБХ (УКБХ) и уполномоченного структурного подразделения Банка России с соответствующими регистрационными карточками, справочник открытых ключей КА уполномоченного структурного подразделения Банка России, находящийся у ГОБХ (УКБХ).

Открытые ключи КА (распечатки открытых ключей КА) ГОБХ (УКБХ), уполномоченного структурного подразделения Банка России и регистрационного центра сравниваются со значениями открытых ключей КА в соответствующих регистрационных карточках.

С помощью принятых комиссией к работе ПО СКЗИ и открытого ключа КА регистрационного центра проверяются целостность и актуальность справочника открытых ключей КА уполномоченного структурного подразделения Банка России, находящегося у ГОБХ (УКБХ).

При отрицательном результате проверки целостности ПО СКЗИ или сравнения открытых ключей КА регистрационного центра, уполномоченного структурного подразделения Банка России и ГОБХ (УКБХ) с соответствующими регистрационными карточками, а также при проверке целостности и актуальности справочника открытых ключей КА уполномоченного структурного подразделения Банка России, находящегося у ГОБХ (УКБХ), дальнейшее рассмотрение разногласий не проводится.

6.2. На втором этапе комиссия проводит проверку на подтверждение подлинности и контроль целостности ОЭС.

    Проверка осуществляется в случаях, когда ГОБХ (УКБХ) утверждает, что не
направляла  ОЭС,  а  уполномоченное  структурное подразделение Банка России
утверждает,   что   ОЭС   было  получено,  или  уполномоченное  структурное
подразделение  Банка  России утверждает, что не получало ОЭС, а ГОБХ (УКБХ)
утверждает, что ОЭС было направлено, а также в ____________________________
_________________________________________________________________ случаях.
                        (указать в каких)

6.2.1. В случаях, когда ГОБХ (УКБХ) отрицает факт отправления ОЭС, уполномоченное структурное подразделение Банка России представляет в комиссию ОЭС, оспариваемое ГОБХ (УКБХ).

Комиссия осуществляет проверку на подтверждение подлинности и контроль целостности данного ОЭС путем проверки КА ГОБХ (УКБХ) с помощью принятого комиссией к использованию ПО СКЗИ.

При положительном результате проверки на подтверждение подлинности и контроля целостности ОЭС, представленного уполномоченным структурным подразделением Банка России, комиссия делает вывод о том, что ГОБХ (УКБХ) направляла ОЭС уполномоченному структурному подразделению Банка России. Если ГОБХ (УКБХ) настаивает на том, что данное ОЭС она не отправляла, комиссия может дополнительно сделать вывод о компрометации секретного ключа КА ГОБХ (УКБХ). В обоих случаях ГОБХ (УКБХ) отвечает за информацию, содержащуюся в ОЭС, в соответствии с пунктом 1.10 Указания Банка России N 3783-У.

Если проверка КА ГОБХ (УКБХ) по оспариваемому ОЭС дает отрицательный результат, то комиссия делает вывод о том, что ГОБХ (УКБХ) не направляла ОЭС уполномоченному структурному подразделению Банка России.

6.2.2. В случае, когда уполномоченное структурное подразделение Банка России отрицает факт приема ОЭС, ГОБХ (УКБХ) предъявляет в комиссию ИЭС уполномоченного структурного подразделения Банка России, подтверждающее положительный результат проверки на подтверждение подлинности и контроль целостности ОЭС или отказ в приеме ОЭС, что свидетельствует о получении уполномоченным структурным подразделением Банка России данного ОЭС.

7. По итогам работы комиссии составляется акт, содержащий:

фактические обстоятельства, послужившие основанием возникновения разногласий;

описание работ, проведенных членами комиссии;

вывод по результатам работы комиссии по оспариваемому ОЭС и его обоснование.

Акт составляется в двух экземплярах, подписывается всеми членами комиссии. Каждой из Сторон комиссия направляет по одному экземпляру акта. Члены комиссии, не согласные с мнением большинства, подписывают акт с особым мнением, которое прикладывается к акту.

8. В случае если на предложение Стороны-инициатора о создании комиссии ответ другой Стороны не был получен или получен отказ от участия в работе комиссии или если другая Сторона препятствовала работе комиссии, Сторона-инициатор вправе составить акт в одностороннем порядке с указанием причины его составления. В акте приводится информация, указанная в пункте 7 настоящего порядка. Акт составляется в двух экземплярах, подписывается уполномоченными должностными лицами Стороны-инициатора. Один экземпляр акта направляется другой Стороне.