ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ
УКАЗАНИЕ
от 9 июня 2012 г. N 2831-У
ОБ ОТЧЕТНОСТИ
ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ИНФОРМАЦИИ ПРИ ОСУЩЕСТВЛЕНИИ
ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ ОПЕРАТОРОВ ПЛАТЕЖНЫХ СИСТЕМ,
ОПЕРАТОРОВ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ, ОПЕРАТОРОВ
ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ
1. На основании Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872) (далее - Федеральный закон N 161-ФЗ) и решения Совета директоров Банка России (протокол заседания Совета директоров Банка России от 31 мая 2012 года N 10) настоящее Указание устанавливает формы отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств (далее - отчетность), сроки предоставления отчетности и методики составления отчетности.
Формы, сроки представления и методики составления отчетности по обеспечению защиты информации при осуществлении переводов денежных средств Банком России устанавливаются нормативным актом Банка России, определяющим перечень, формы, правила и порядок составления и представления отчетности структурными подразделениями Банка России в Центральный банк Российской Федерации.
2. Отчетность по форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств не позднее тридцати рабочих дней со дня завершения проведения оценки выполнения оператором платежных систем, оператором услуг платежной инфраструктуры, оператором по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств, установленных Положением Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" <*> (далее - Положение Банка России N 382-П) (далее - оценка соответствия).
--------------------------------
<*> Справочно: зарегистрировано Министерством юстиции Российской Федерации 14 июня 2012 года N 24575 ("Вестник Банка России" от 22 июня 2012 года N 32).
3. Отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" предоставляется:
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, за исключением небанковских кредитных организаций, имеющих право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, - ежемесячно, не позднее десятого рабочего дня месяца, следующего за отчетным;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца превышает 2 миллиарда рублей, - ежеквартально, не позднее десятого рабочего дня месяца, следующего за отчетным кварталом;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, являющимися небанковскими кредитными организациями, имеющими право на осуществление переводов денежных средств без открытия банковских счетов и связанных с ними иных банковских операций, у которых средний за полгода объем обязательств перед клиентами по переводу денежных средств без открытия банковских счетов в течение месяца не превышает 2 миллиарда рублей, - раз в полгода, не позднее десятого рабочего дня месяца, следующего за отчетным периодом;
операторами услуг платежной инфраструктуры, операторами по переводу денежных средств по требованию Банка России - не позднее десяти рабочих дней со дня получения письменного требования Банка России.
Оператор платежной системы, привлекающий операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, на основе информации, полученной от данного операционного центра в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, составляет отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" и представляет данную отчетность ежемесячно, не позднее десятого рабочего дня месяца, следующего за отчетным, а также по требованию Банка России - не позднее десяти рабочих дней со дня получения письменного требования Банка России.
4. Форма и методика составления операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств отчетности по форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств" приведены в приложении 1 к настоящему Указанию.
5. Форма и методика составления операторами услуг платежной инфраструктуры, операторами по переводу денежных средств, операторами платежных систем, привлекающими операционные центры, находящиеся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы отчетности по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" приведены в приложении 2 к настоящему Указанию.
6. Настоящее Указание подлежит официальному опубликованию в "Вестнике Банка России" и вступает в силу с 1 июля 2012 года.
Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ
Приложение 1
к Указанию Банка России
от 9 июня 2012 г. N 2831-У
"Об отчетности по обеспечению
защиты информации при осуществлении
переводов денежных средств
операторов платежных систем,
операторов услуг платежной
инфраструктуры, операторов
по переводу денежных средств"
┌─────────────┬───────────────────────────────────────────────────────────┐ │ Код │Код оператора платежной системы, оператора услуг платежной │ │территории по│ инфраструктуры, оператора по переводу денежных средств │ │ ОКАТО ├─────────────┬─────────────────────────────────────┬───────┤ │ │ по ОКПО │ регистрационный номер │ БИК │ ├─────────────┼─────────────┼─────────────────────────────────────┼───────┤ │ │ │ │ │ └─────────────┴─────────────┴─────────────────────────────────────┴───────┘
Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств по состоянию на "__" ________ ____ г. Наименование ______________________________________________________________ Почтовый адрес ____________________________________________________________ Код формы по ОКУД 0403202 На нерегулярной основе
┌────────┬─────────────────────────────────────────────────────┬──────────┐ │ I │Субъект национальной платежной системы │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ II │Регистрационный номер оператора платежной системы │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ III │Предоставление услуг платежной инфраструктуры │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ IV │Участие в платежных системах │ │ └────────┴─────────────────────────────────────────────────────┴──────────┘
┌────────┬─────────────────────────────────────────────────────┬──────────┐ │ Номер │ Вид сведений │Содержание│ │ строки │ │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ 1 │ 2 │ 3 │ ├────────┴─────────────────────────────────────────────────────┴──────────┤ │ Сведения о выполнении требований к обеспечению защиты информации при │ │ осуществлении переводов денежных средств │ ├────────┬─────────────────────────────────────────────────────┬──────────┤ │ 1 │Показатель EV1 │ │ │ │ ПС │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ 2 │Показатель EV2 │ │ │ │ ПС │ │ ├────────┼─────────────────────────────────────────────────────┼──────────┤ │ 3 │Итоговый показатель R │ │ │ │ ПС │ │ ├────────┴─────────────────────────────────────────────────────┴──────────┤ │Сведения об оценке выполнения требований к обеспечению защиты информации │ │ при осуществлении переводов денежных средств │ ├────────┬─────────────────────────────────────────────────────┬──────────┤ │ 4 │Проведение оценки выполнения требований к │ │ │ │обеспечению защиты информации при осуществлении │ │ │ │переводов денежных средств │ │ └────────┴─────────────────────────────────────────────────────┴──────────┘
Руководитель (заместитель руководителя) ________________ ______________________________ (личная подпись) (инициалы, фамилия) М.П. Исполнитель ________________ _____________________________ (личная подпись) (инициалы, фамилия) Номер телефона:
Методика
составления отчетности по форме 0403202
"Сведения о выполнении операторами платежных систем,
операторами услуг платежной инфраструктуры, операторами
по переводу денежных средств требований к обеспечению
защиты информации при осуществлении переводов
денежных средств"
1. Отчетность по форме 0403202 "Сведения о выполнении операторами платежных систем, операторами услуг платежной инфраструктуры, операторами по переводу денежных средств требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее для целей настоящей Методики - Отчет) содержит результаты проведенной оператором платежных систем, оператором услуг платежной инфраструктуры, оператором по переводу денежных средств (далее для целей настоящей Методики - отчитывающийся оператор) оценки соответствия.
2. В заголовочной части Отчета указывается:
в графе "Код территории по ОКАТО" - код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);
в графе "по ОКПО" - код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);
в графе "регистрационный номер" - регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;
в графе "БИК" отчитывающимся оператором, являющимся кредитной организацией или Государственной корпорацией "Банк развития и внешнеэкономической деятельности (Внешэкономбанк)" (далее - Внешэкономбанк), - банковский идентификационный код (БИК) по Справочнику банковских идентификационных кодов участников расчетов на территории Российской Федерации (Справочник БИК России); в случае если отчитывающийся оператор не является кредитной организацией или Внешэкономбанком, данная графа не заполняется;
в строке "Наименование" - наименование отчитывающегося оператора; наименование оператора платежной системы, оператора услуг платежной инфраструктуры указывается в соответствии с реестром операторов платежных систем; в случае если отчитывающийся оператор является только оператором по переводу денежных средств, в графе "Наименование" указывается сокращенное фирменное наименование кредитной организации;
в строке "Почтовый адрес" - адрес фактического места нахождения отчитывающегося оператора.
3. В строках I - IV указываются сведения о том, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
4. В строке I без пробелов через запятую указываются коды "ОПДС", "ОПС", "ОЦ", "КЦ" и (или) "РЦ", соответствующие тому, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
Код "ОПДС" указывается, если отчитывающийся оператор является оператором по переводу денежных средств. Код "ОПС" указывается, если отчитывающийся оператор является оператором платежной системы. Код "ОЦ" указывается, если отчитывающийся оператор является операционным центром. Код "КЦ" указывается, если отчитывающийся оператор является клиринговым центром. Код "РЦ" указывается, если отчитывающийся оператор является расчетным центром.
5. В случае если отчитывающийся оператор является оператором платежной системы, в строке II указывается регистрационный номер оператора платежной системы. В иных случаях данная графа не заполняется. Регистрационный номер оператора платежной системы указывается в соответствии с реестром операторов платежных систем.
6. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в строке III указываются без пробелов через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
7. В случае если отчитывающийся оператор является оператором по переводу денежных средств и одновременно участником платежных систем, в строке IV указываются без пробелов через запятую регистрационные номера операторов платежных систем, участником которых является оператор по переводу денежных средств. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
8. В строках 1 - 3 указываются сведения о выполнении отчитывающимся оператором требований к обеспечению защиты информации при осуществлении переводов денежных средств.
8.1. В графе 3 строки 1 указывается значение обобщающего показателя , порядок расчета которого определен в приложении 1 к Положению Банка России N 382-П.
8.2. В графе 3 строки 2 указывается значение обобщающего показателя , порядок расчета которого определен в приложении 1 к Положению Банка России N 382-П.
8.3. В графе 3 строки 3 указывается значение итогового показателя , порядок расчета которого определен в приложении 1 к Положению Банка России N 382-П.
8.4. Числовые значения обобщающих показателей , и итогового показателя указываются с точностью до двух знаков после запятой.
8.5. Итоговый показатель равен наименьшему из значений обобщающих показателей и .
9. В строке 4 указываются сведения об осуществлении оценки соответствия самостоятельно отчитывающимся оператором или сторонней организацией на договорной основе. Если оценка соответствия была проведена отчитывающимся оператором, то в графе 3 строки 4 ставится код "С". Если оценка соответствия была проведена сторонней организацией на договорной основе, то в графе 3 строки 4 указывается наименование сторонней организации, которое должно точно соответствовать ее регистрационным данным, и без пробелов через запятую - код сторонней организации по Общероссийскому классификатору предприятий и организаций (ОКПО).
10. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России от 16 июля 2012 года N 2851-У "О правилах составления и представления отчетности кредитными организациями в Центральный банк Российской Федерации", зарегистрированным Министерством юстиции Российской Федерации 5 сентября 2012 года N 25382 ("Вестник Банка России" от 19 сентября 2012 года N 55) (далее - Указание Банка России N 2851-У).
Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России N 2851-У.
11. Отчет отчитывающегося оператора, являющегося кредитной организацией, принимается территориальным учреждением Банка России, осуществляющим надзор за деятельностью головного офиса кредитной организации.
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Московским ГТУ Банка России.
Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
12. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России от 24 января 2005 года N 1546-У "О порядке представления кредитными организациями в Центральный банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации", зарегистрированным Министерством юстиции Российской Федерации 22 февраля 2005 года N 6353, 28 ноября 2007 года N 10558 ("Вестник Банка России" от 2 марта 2005 года N 12, от 5 декабря 2007 года N 67) (далее - Указание Банка России N 1546-У).
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России N 1546-У.
При этом средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.
Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам территориальными учреждениями Банка России.
13. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.
13.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.
Отчет принимается:
до 1 июля 2013 года - на бумажном носителе в экспедицию территориального учреждения Банка России;
с 1 июля 2013 года - в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
13.2. При предоставлении Отчета на бумажном носителе дополнительно предоставляется Отчет в электронном виде на машинном носителе (дискеты, flash-память).
Данные Отчета, предоставляемого отчитывающимся оператором в электронном виде, должны быть идентичны данным Отчета, предоставляемого отчитывающимся оператором на бумажном носителе.
Отчет отчитывающегося оператора, предоставляемый в территориальное учреждение Банка России на бумажном носителе, подписывается руководителем организации либо его заместителем, уполномоченным подписывать отчетность, и исполнителем.
13.3. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления территориальным учреждением Банка России в адрес отчитывающегося оператора подтверждения о подлинности полученного территориальным учреждением Банка России электронного сообщения.
Датой предоставления Отчета на бумажном носителе является дата его приема экспедицией территориального учреждения Банка России.
Если последний день срока предоставления Отчета приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Российской Федерации, то окончание срока предоставления Отчета переносится на ближайший следующий за ним рабочий день.
13.4. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.
13.5. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).
13.6. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.
Исправление данных в Отчете осуществляется в срок не позднее десяти рабочих дней после дня выявления факта недостоверности предоставленных данных Отчета.
Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения (в случае предоставления Отчета в виде электронного сообщения) или подписанными лицами, перечисленными в подпункте 13.2 настоящего пункта (в случае предоставления Отчета на бумажном носителе).
Приложение 2
к Указанию Банка России
от 9 июня 2012 г. N 2831-У
"Об отчетности по обеспечению
защиты информации при осуществлении
переводов денежных средств
операторов платежных систем,
операторов услуг платежной
инфраструктуры, операторов
по переводу денежных средств"
┌─────────────┬───────────────────────────────────────────────────────────┐ │ Код │Код оператора услуг платежной инфраструктуры, оператора по │ │ территории │ переводу денежных средств, оператора платежной системы │ │ по ОКАТО ├────────────────────────┬──────────────────────────────────┤ │ │ по ОКПО │ регистрационный номер │ ├─────────────┼────────────────────────┼──────────────────────────────────┤ │ │ │ │ └─────────────┴────────────────────────┴──────────────────────────────────┘
Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств по состоянию на "__" ______________ г. Наименование __________________________________________ Почтовый адрес ________________________________________ Код формы по ОКУД 0403203 Месячная (Квартальная) (Полугодовая) Раздел 1. Общие сведения
┌─────────┬──────────────────────────────────────────────────┬────────────┐ │ Номер │ Вид сведений │ Содержание │ │ строки │ │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 1 │ 2 │ 3 │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 1 │Субъект национальной платежной системы │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 2 │Предоставление услуг платежной инфраструктуры │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 3 │Участие в платежных системах │ │ └─────────┴──────────────────────────────────────────────────┴────────────┘
Раздел 2. Сведения о количестве инцидентов
┌─────────┬──────────────────────────────────────────────────┬────────────┐ │ Номер │ Наименование показателя │ Количество │ │ строки │ │инцидентов, │ │ │ │ единиц │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 1 │ 2 │ 3 │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 1 │Общее количество инцидентов, всего, в том числе: │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 2 │выявленных клиентами оператора по переводу │ │ │ │денежных средств │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 3 │выявленных банковскими платежными агентами │ │ │ │(субагентами) │ │ ├─────────┼──────────────────────────────────────────────────┼────────────┤ │ 4 │выявленных операционными центрами, находящимися │ │ │ │за пределами Российской Федерации │ │ └─────────┴──────────────────────────────────────────────────┴────────────┘
Раздел 3. Сведения об инцидентах отчетного периода
┌─────┬────┬──────┬──────┬─────┬──────┬─────┬──────┬─────┬──────┬────────────────────┬──────┬──────┬───────┬─────┬─────┬─────┐ │Номер│Тип │Дата │Усло- │Опи- │При- │До- │Регион│Нару-│Отно- │ Последствия │Описа-│Факт │Сведе- │Код │Дата │Код │ │стро-│ин- │выяв- │вия │сание│чина │пол- │выяв- │шен- │шение │ инцидента │ние │обра- │ния о │бан- │за- │инци-│ │ки │ци- │ления │воз- │инци-│инци- │ни- │ления │ное │к пла-├───────┬──────┬─────┤пред- │щения │выявле-│ковс-│вер- │дента│ │ │ден │инци- │ник- │дента│дента │тель-│инци- │тре- │тежной│Суммы │Нару- │Оцен-│приня-│в пра-│нии │кого │шения│ │ │ │та │дента,│нове- │ │ │ные │дента │бова-│систе-│перево-│шение │ка │тых │воох- │инци- │пла- │раз- │ │ │ │ │дата │ния │ │ │све- │ │ние │ме │дов │сроков│убыт-│дейст-│рани- │дента │теж- │бира-│ │ │ │ │воз- │инци- │ │ │дения│ │Поло-│ │денеж- │ │ка │вий по│тель- │клиен- │ного │тель-│ │ │ │ │никно-│дента │ │ │об │ │жения│ │ных │ │ │устра-│ные │том, │аген-│ства │ │ │ │ │вения │ │ │ │инци-│ │Банка│ │средств│ │ │нению │органы│бан- │та │по │ │ │ │ │инци- │ │ │ │денте│ │Рос- │ │ │ │ │пос- │ │ковским│(суб-│инци-│ │ │ │ │дента │ │ │ │ │ │сии N│ │ │ │ │ледст-│ │платеж-│аген-│денту│ │ │ │ │ │ │ │ │ │ │382-П│ │ │ │ │вий │ │ным │та) │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │инци- │ │агентом│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │дента │ │(суб- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │аген- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │том), │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │опера- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ционным│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │цент- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ром, │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │нахо- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │дящимся│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │за пре-│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │делами │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │Рос- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │сийской│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │Феде- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │рации │ │ │ │ ├─────┼────┼──────┼──────┼─────┼──────┼─────┼──────┼─────┼──────┼───────┼──────┼─────┼──────┼──────┼───────┼─────┼─────┼─────┤ │ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │ 10 │ 11 │ 12 │ 13 │ 14 │ 15 │ 16 │ 17 │ 18 │ 19 │ └─────┴────┴──────┴──────┴─────┴──────┴─────┴──────┴─────┴──────┴───────┴──────┴─────┴──────┴──────┴───────┴─────┴─────┴─────┘
Раздел 4. Сведения об инцидентах предыдущих отчетных периодов
┌─────┬────┬──────┬──────┬─────┬──────┬─────┬─────┬──────┬──────┬───────┬─────────────────────┬────────┬──────┬────────┬─────┐ │Номер│Код │Тип │Дата │Усло-│Описа-│При- │До- │Регион│Нару- │Отно- │Последствия инцидента│Описание│Факт │Сведения│Код │ │стро-│ин- │инци- │завер-│вия │ние │чина │пол- │выяв- │шенное│шение к├────────┬─────┬──────┤предпри-│обра- │о выяв- │бан- │ │ки │ци- │дента │шения │воз- │инци- │инци-│ни- │ления │требо-│платеж-│Суммы │Нару-│Оценка│нятых │щения │лении │ковс-│ │ │ден-│ │разби-│ник- │дента │дента│тель-│инци- │вание │ной │перево- │шение│убытка│действий│в пра-│инци- │кого │ │ │та │ │ра- │нове-│ │ │ные │дента │Поло- │системе│дов де- │сро- │ │по уст- │воох- │дента │пла- │ │ │ │ │тель- │ния │ │ │све- │ │жения │ │нежных │ков │ │ранению │рани- │клиен- │теж- │ │ │ │ │ства │инци-│ │ │дения│ │Банка │ │средств │ │ │послед- │тель- │том, │ного │ │ │ │ │по ин-│дента│ │ │об │ │России│ │ │ │ │ствий │ные │банков- │аген-│ │ │ │ │циден-│ │ │ │инци-│ │N 382-│ │ │ │ │инциден-│органы│ским │та │ │ │ │ │ту, │ │ │ │денте│ │П │ │ │ │ │та │ │платеж- │(суб-│ │ │ │ │дата │ │ │ │ │ │ │ │ │ │ │ │ │ным │аген-│ │ │ │ │воз- │ │ │ │ │ │ │ │ │ │ │ │ │агентом │та) │ │ │ │ │никно-│ │ │ │ │ │ │ │ │ │ │ │ │(суб- │ │ │ │ │ │вения │ │ │ │ │ │ │ │ │ │ │ │ │аген- │ │ │ │ │ │инци- │ │ │ │ │ │ │ │ │ │ │ │ │том), │ │ │ │ │ │дента │ │ │ │ │ │ │ │ │ │ │ │ │опера- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ционным │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │цент- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ром, │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │находя- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │щимся за│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │предела-│ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ми Рос- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │сийской │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │Федера- │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ │ции │ │ ├─────┼────┼──────┼──────┼─────┼──────┼─────┼─────┼──────┼──────┼───────┼────────┼─────┼──────┼────────┼──────┼────────┼─────┤ │ 1 │ 2 │ 3 │ 4 │ 5 │ 6 │ 7 │ 8 │ 9 │ 10 │ 11 │ 12 │ 13 │ 14 │ 15 │ 16 │ 17 │ 18 │ └─────┴────┴──────┴──────┴─────┴──────┴─────┴─────┴──────┴──────┴───────┴────────┴─────┴──────┴────────┴──────┴────────┴─────┘
Руководитель ___________________ ______________________ (заместитель руководителя) (личная подпись) (инициалы, фамилия) М.П. Исполнитель ____________________ _______________________ (личная подпись) (инициалы, фамилия) Номер телефона:
Методика
составления отчетности по форме 0403203 "Сведения
о выявлении инцидентов, связанных с нарушением требований
к обеспечению защиты информации при осуществлении
переводов денежных средств"
1. Отчетность по форме 0403203 "Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств" (далее для целей настоящей Методики - Отчет) содержит сведения об инцидентах, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств, в соответствии с абзацами шестнадцатым - девятнадцатым пункта 2.2 Положения Банка России N 382-П (далее для целей настоящей Методики - инциденты).
2. Оператор услуг платежной инфраструктуры, оператор по переводу денежных средств, оператор платежной системы, привлекающий операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы (далее - отчитывающийся оператор), включает в Отчет сведения:
об инцидентах, самостоятельно выявленных в отчетном периоде, - если отчитывающийся оператор является оператором по переводу денежных средств и (или) оператором услуг платежной инфраструктуры;
о ставших ему известными инцидентах, выявленных в отчетном периоде его клиентами, - если отчитывающийся оператор является оператором по переводу денежных средств;
о ставших ему известными инцидентах, выявленных в отчетном периоде банковскими платежными агентами (субагентами), - если отчитывающийся оператор является оператором по переводу денежных средств;
о ставших ему известными инцидентах на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, - если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы.
3. В Отчет, предоставляемый отчитывающимся оператором по письменному требованию Банка России, включаются сведения об инцидентах, выявленных отчитывающимся оператором или ставших ему известными за период, указанный в письменном требовании Банка России.
4. В заголовочной части Отчета указываются:
в графе "Код территории по ОКАТО" - код территории отчитывающегося оператора по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов);
в графе "по ОКПО" - код отчитывающегося оператора по Общероссийскому классификатору предприятий и организаций (ОКПО);
в графе "регистрационный номер" - регистрационный номер, присвоенный кредитной организации и занесенный в Книгу государственной регистрации кредитных организаций; в случае если отчитывающийся оператор не является кредитной организацией, данная графа не заполняется;
в строке "Наименование" указывается наименование отчитывающегося оператора; в случае если отчитывающийся оператор является кредитной организацией, в строке "Наименование" указывается полное фирменное наименование кредитной организации; в случае если отчитывающийся оператор не является кредитной организацией, в строке "Наименование" указывается наименование отчитывающегося оператора в соответствии с реестром операторов платежных систем, который размещается на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (www.cbr.ru) (далее для целей настоящей Методики - реестр операторов платежных систем);
в строке "Почтовый адрес" - адрес фактического места нахождения отчитывающегося оператора.
5. В разделе 1 Отчета указываются сведения о том, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
5.1. В графе 3 строки 1 раздела 1 Отчета без пробелов, через запятую указываются коды "ОПДС", "ОПС", "ОЦ", "КЦ" и (или) "РЦ", соответствующие тому, каким субъектом национальной платежной системы в соответствии с Федеральным законом N 161-ФЗ является отчитывающийся оператор.
Код "ОПДС" указывается, если отчитывающийся оператор является оператором по переводу денежных средств. Код "ОПС" указывается, если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы. Код "ОЦ" указывается, если отчитывающийся оператор является операционным центром. Код "КЦ" указывается, если отчитывающийся оператор является клиринговым центром. Код "РЦ" указывается, если отчитывающийся оператор является расчетным центром.
5.2. В случае если отчитывающийся оператор является оператором услуг платежной инфраструктуры, в графе 3 строки 2 раздела 1 Отчета указываются без пробелов, через запятую регистрационные номера операторов платежных систем, для которых отчитывающийся оператор является оператором услуг платежной инфраструктуры. В случае если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, в графе 3 строки 2 раздела 1 Отчета указывается регистрационный номер оператора платежной системы. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
5.3. В случае если отчитывающийся оператор является оператором по переводу денежных средств и одновременно участником платежных систем, в графе 3 строки 3 раздела 1 Отчета указываются без пробелов, через запятую регистрационные номера операторов платежных систем, участником которых является оператор по переводу денежных средств. В иных случаях данная графа не заполняется. Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем.
6. В графе 3 раздела 2 Отчета указываются сведения о количестве инцидентов, выявленных отчитывающимся оператором или ставших ему известными в отчетном периоде. В случае если отчитывающийся оператор является оператором по переводу денежных средств, в общем количестве инцидентов также учитывается количество ставших известными отчитывающемуся оператору инцидентов, выявленных клиентами, а также выявленных банковскими платежными агентами (субагентами). В случае если отчитывающийся оператор является оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, в общем количестве инцидентов также учитывается количество ставших ему известными инцидентов на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П.
7. Количество строк раздела 3 Отчета равно числу, указанному в графе 3 строки 1 раздела 2 Отчета. В разделе 3 Отчета указываются имеющиеся у отчитывающегося оператора на дату предоставления Отчета сведения об инцидентах, выявленных отчитывающимся оператором или ставших ему известными в отчетном периоде.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код "2.1" указывается, если инцидент привел к несвоевременности (к нарушению сроков, установленных законодательством Российской Федерации, правилами платежных систем и (или) договорами, заключаемыми клиентами, операторами по переводу денежных средств, операторами услуг платежной инфраструктуры, операторами платежных систем, банковскими платежными агентами (субагентами), участниками платежных систем) осуществления переводов денежных средств;
код "2.2" указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
код "2.3" указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
код "2.4" указывается, если инцидент привел к осуществлению переводов денежных средств с использованием искаженной информации, содержащейся в распоряжениях клиентов, распоряжениях участников платежной системы, распоряжениях клирингового центра.
9. В графе 3 раздела 3 Отчета указываются без пробелов, через запятую:
дата выявления отчитывающимся оператором инцидента или дата, когда отчитывающемуся оператору стало известно об инциденте;
дата возникновения инцидента.
Даты указываются в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год.
Например, в случае если отчитывающимся оператором 4 сентября 2013 года был выявлен инцидент, связанный с использованием электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для осуществления переводов денежных средств (или отчитывающемуся оператору стало известно об использовании электронного средства платежа без согласия клиента 4 сентября 2013 года), и при этом данное электронное средство платежа было несанкционированно использовано 27 августа 2013 года (например, в соответствии с информацией, указанной в уведомлении, направленном клиентом отчитывающемуся оператору в соответствии с частью 11 статьи 9 Федерального закона N 161-ФЗ), то в графе 3 указывается "04.09.2013,27.08.2013".
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "4.1" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате <1>;
--------------------------------
<1> Термин "банкомат" приводится в пункте 1.3 Положения Банка России от 24 декабря 2004 года N 266-П "Об эмиссии платежных карт и об операциях, совершаемых с их использованием", зарегистрированного Министерством юстиции Российской Федерации 25 марта 2005 года N 6431, 30 октября 2006 года N 8416, 8 октября 2008 года N 12430, 9 декабря 2011 года N 22528, 21 ноября 2012 года N 25863 ("Вестник Банка России" от 30 марта 2005 года N 17, от 9 ноября 2006 года N 60, от 17 октября 2008 года N 58, от 19 декабря 2011 года N 71, от 28 ноября 2012 года N 67).
код "4.2" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в электронном терминале <1>, установленном в организации торговли и (или) услуг;
--------------------------------
<1> Термин "электронный терминал" приводится в пункте 7 Порядка составления и представления отчетности по форме 0409250 "Сведения об операциях с использованием платежных карт и инфраструктуре, предназначенной для совершения с использованием и без использования платежных карт операций выдачи (приема) наличных денежных средств и платежей за товары (работы, услуги)", установленной в приложении 1 к Указанию Банка России от 12 ноября 2009 года N 2332-У "О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный банк Российской Федерации", зарегистрированному Министерством юстиции Российской Федерации 16 декабря 2009 года N 15615, 18 июня 2010 года N 17590, 22 декабря 2010 года N 19313, 20 июня 2011 года N 21060, 16 декабря 2011 года N 22650, 10 июля 2012 года N 24863, 20 сентября 2012 года N 25499, 20 декабря 2012 года N 26203, 29 марта 2013 года N 27926 ("Вестник Банка России" от 25 декабря 2009 года N 75-76, от 25 июня 2010 года N 35, от 28 декабря 2010 года N 72, от 28 июня 2011 года N 34, от 23 декабря 2011 года N 73, от 19 июля 2012 года N 41, от 26 сентября 2012 года N 58, от 27 декабря 2012 года N 76, от 30 марта 2013 года N 20).
код "4.3" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты (реквизитов платежной карты) с целью осуществления переводов денежных средств посредством информационно-телекоммуникационной сети Интернет (далее - сеть Интернет);
код "4.4" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты с целью осуществления переводов денежных средств посредством мобильных телефонов, смартфонов, коммуникаторов и тому подобное (далее - абонентские устройства мобильной связи) при использовании услуг, предоставляемых оператором связи, имеющим право самостоятельно оказывать услуги радиотелефонной подвижной связи (далее - оператор связи), и при этом не может быть присвоен код "4.3", указанный в настоящем пункте;
код "4.5" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты и при этом не может быть присвоен ни один из кодов, указанных выше в настоящем пункте;
код "4.6" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
код "4.7" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежного терминала <1>;
--------------------------------
<1> Термин "платежный терминал" приводится в статье 1 Федерального закона от 22 мая 2003 года N 54-ФЗ "О применении контрольно-кассовой техники при осуществлении наличных денежных расчетов и (или) расчетов с использованием платежных карт" (Собрание законодательства Российской Федерации, 2003, N 21, ст. 1957; 2009, N 23, ст. 2776; N 29, ст. 3599; 2010, N 31, ст. 4161; 2011, N 27, ст. 3873; 2012, N 26, ст. 3447; 2013, N 19, ст. 2316).
код "4.8" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, абонентского устройства мобильной связи при использовании услуг, предоставляемых оператором связи и при этом не может быть присвоен код "4.4", указанный в настоящем пункте;
код "4.9" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, сети Интернет и программного обеспечения, предоставляемого клиенту оператором по переводу денежных средств, и при этом не может быть присвоен ни один из кодов "4.3", "4.8", указанных в настоящем пункте;
код "4.10" указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, сети Интернет, и при этом не может быть присвоен ни один из кодов "4.3", "4.8", "4.9", указанных в настоящем пункте; например, код "4.10" указывается, если инцидент произошел при использовании сети Интернет и программного обеспечения, специально не предназначенного для переводов денежных средств (например, стандартных интернет-браузеров);
коды "4.11.1" - "4.11.6" указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры <1>; при этом код "4.11.1" указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала; код "4.11.2" указывается, если инцидент произошел при эксплуатации автоматизированной системы, и не может быть присвоен код "4.11.1"; код "4.11.3" указывается, если инцидент произошел при эксплуатации программного обеспечения, и не может быть присвоен код "4.11.1"; код "4.11.4" указывается, если инцидент произошел при эксплуатации средства вычислительной техники, и не может быть присвоен код "4.11.1"; код "4.11.5" указывается, если инцидент произошел при эксплуатации телекоммуникационного оборудования, и не может быть присвоен код "4.11.1"; код "4.11.6" указывается, если инцидент произошел при эксплуатации технического средства защиты информации, и не может быть присвоен код "4.11.1";
--------------------------------
<1> Термин "объект информационной инфраструктуры" приводится в абзаце девятом пункта 2.1 Положения Банка России N 382-П.
код "4.12" указывается, если не может быть присвоен ни один из кодов, указанных выше в настоящем пункте.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "5.1" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов;
коды "5.2.1" и "5.2.2" указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов, и при этом не может быть присвоен код "5.1", указанный в настоящем пункте; код "5.2.1" указывается, если клиент является физическим лицом; код "5.2.2" указывается, если клиент является юридическим лицом;
код "5.3" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы и при этом не может быть присвоен ни один из кодов "5.1", "5.2.1", "5.2.2", указанных в настоящем пункте;
код "5.4" указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, объекта информационной инфраструктуры, обеспечивающего взаимодействие структурных подразделений отчитывающегося оператора посредством локальных вычислительных сетей и (или) сети Интернет, и при этом не может быть присвоен ни один из кодов "5.1", "5.2.1", "5.2.2", "5.3", указанных в настоящем пункте;
код "5.5" указывается, если инцидент произошел при осуществлении перевода электронных денежных средств;
код "5.6" указывается отчитывающимся оператором, являющимся операционным центром или оператором платежной системы, привлекающим операционный центр, находящийся за пределами Российской Федерации, для оказания операционных услуг участникам платежной системы, если инцидент произошел при обеспечении операционных услуг;
код "5.7" указывается отчитывающимся оператором, являющимся клиринговым центром, если инцидент произошел при обеспечении услуг платежного клиринга;
код "5.8" указывается отчитывающимся оператором, являющимся расчетным центром, если инцидент произошел при обеспечении расчетных услуг.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "6.1" указывается, если причиной инцидента является воздействие вредоносного кода <1>;
--------------------------------
<1> Термин "вредоносный код" приводится в абзаце пятом пункта 2.2 Положения Банка России N 382-П.
код "6.2" указывается, если причиной инцидента является нарушение клиентом условий использования электронного средства платежа, о которых отчитывающийся оператор информирует клиента в соответствии с частью 3 статьи 9 Федерального закона N 161-ФЗ;
код "6.3" указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее - аутентификационная информация);
код "6.4" указывается, если причиной инцидента является умышленное нарушение работником отчитывающегося оператора, банковского платежного агента (субагента), операционного центра, находящегося за пределами Российской Федерации, порядка эксплуатации объекта информационной инфраструктуры;
код "6.5" указывается, если причиной инцидента является неумышленное нарушение работником отчитывающегося оператора, банковского платежного агента (субагента), операционного центра, находящегося за пределами Российской Федерации, порядка эксплуатации объекта информационной инфраструктуры;
код "6.6.1" указывается, если причиной инцидента является внешнее воздействие из сети Интернет, связанное с атаками типа "отказ в обслуживании" (атаками типа DoS/DDoS);
код "6.6.2" указывается, если причиной инцидента является внешнее воздействие из сети Интернет, связанное с подменой адреса и (или) ресурса сети Интернет;
код "6.6.3" указывается, если причиной инцидента является внешнее воздействие из сети Интернет и при этом не может быть присвоен ни один из кодов "6.6.1", "6.6.2", указанных в настоящем пункте;
код "6.7" указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код "6.8" указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию;
код "6.9" указывается, если причиной инцидента является сбой и (или) отказ в работе объекта (объектов) информационной инфраструктуры, за исключением банкоматов, платежных терминалов, электронных терминалов;
код "6.10" указывается, если причиной инцидента является физическое воздействие на объект информационной инфраструктуры, за исключением банкомата, платежного терминала, электронного терминала, приводящим к повреждению данного объекта информационной инфраструктуры;
код "6.11" указывается, если причиной инцидента является хищение объекта информационной инфраструктуры, за исключением банкомата, платежного терминала, электронного терминала;
код "6.12" указывается, если не может быть присвоен ни один из кодов, указанных выше в настоящем пункте.
13. В графе 7 раздела 3 Отчета указываются дополнительные сведения об инциденте (в текстовом формате), а именно:
условия возникновения инцидента, если в графе 4 раздела 3 Отчета указаны коды "4.5" и (или) "4.12";
причины возникновения инцидента, если в графе 6 раздела 3 Отчета указаны коды "6.6.3" и (или) "6.12";
а также иные сведения по решению отчитывающегося оператора.
14. В графе 8 раздела 3 Отчета указывается код территории, на которой был выявлен инцидент, по Общероссийскому классификатору объектов административно-территориального деления (ОКАТО) (не более 5 символов). В случае выявления инцидента за пределами Российской Федерации графа 8 раздела 3 отчета не заполняется.
15. В графе 9 раздела 3 Отчета указываются без пробелов, через запятую требования, установленные Положением Банка России N 382-П вследствие нарушения которых произошел инцидент. Требования указываются в соответствии с их обозначением, приведенным в графе 1 таблицы приложения 2 к Положению Банка России N 382-П. В иных случаях графа 9 раздела 3 Отчета не заполняется.
16. В случае если инцидент произошел при осуществлении переводов денежных средств в платежной системе (платежных системах) в графе 10 раздела 3 Отчета указываются без пробелов, через запятую регистрационные номера оператора соответствующей платежной системы (операторов соответствующих платежных систем). Регистрационные номера операторов платежных систем указываются в соответствии с реестром операторов платежных систем. В случае если инцидент произошел в платежной системе Банка России, в графе 10 раздела 3 Отчета указывается "платежная система Банка России". В иных случаях графа 10 раздела 3 Отчета не заполняется.
17. В случае если в графе 2 раздела 3 Отчета указан код "2.2" или код "2.4" в графе 11 раздела 3 Отчета указываются без пробелов, через запятую (в рублях без десятичных знаков после запятой):
сумма переводов денежных средств, содержащаяся в распоряжениях клиентов, распоряжениях участников платежной системы или распоряжениях клирингового центра;
сумма переводов денежных средств, по которым наступила окончательность перевода денежных средств.
В случае если в графе 2 раздела 3 Отчета указан код "2.3", в графе 11 раздела 3 Отчета указывается сумма переводов денежных средств, содержащаяся в распоряжениях клиентов, распоряжениях участников платежной системы или распоряжениях клирингового центра, в случае наличия таких распоряжений.
В случае если в графе 2 раздела 3 Отчета указан код "2.1", графа 11 раздела 3 Отчета не заполняется.
Пересчет в рубли сумм переводов денежных средств в иностранной валюте осуществляется по официальному курсу соответствующей иностранной валюты по отношению к рублю, установленному Банком России на указанную для данного инцидента в графе 3 раздела 3 Отчета дату выявления отчитывающимся оператором инцидента или дату, в которую отчитывающемуся оператору стало известно об инциденте.
18. В случае если в графе 2 раздела 3 Отчета указан код "2.1", в графе 12 раздела 3 Отчета указывается период времени (в формате "чч.мм", где "чч" - часы, "мм" - минуты), в течение которого услуги по осуществлению переводов денежных средств не предоставлялись. В иных случаях графа 12 раздела 3 Отчета не заполняется.
19. В графе 13 раздела 3 Отчета указывается оценка в денежном выражении (в рублях) убытков <1>, причиненных в результате инцидента, за исключением суммы переводов денежных средств, по которым наступила окончательность перевода денежных средств и которые указаны в графе 11 раздела 3 Отчета.
--------------------------------
<1> Термин "убытки" приводится в пункте 2 статьи 15 Гражданского кодекса Российской Федерации (Собрание законодательства Российской Федерации, 1994, N 32, ст. 3301).
20. В графе 14 раздела 3 Отчета указывается описание действий по устранению последствий инцидента, предпринятых отчитывающимся оператором, банковским платежным агентом (субагентом) и (или) операционным центром, находящимся за пределами Российской Федерации (в текстовом формате).
21. В графе 15 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код "15.1", если сведения об инциденте были направлены в правоохранительные органы отчитывающимся оператором;
код "15.2", если сведения об инциденте были направлены в правоохранительные органы банковским платежным агентом (субагентом);
код "15.3", если сведения об инциденте были направлены в правоохранительные органы клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств;
код "15.4", если сведения об инциденте были направлены в правоохранительные органы и не может быть присвоен ни один из кодов, указанных выше в настоящем пункте;
код "15.5", если по факту инцидента правоохранительные органы возбудили уголовное дело, дело об административном правонарушении, при наличии у отчитывающегося оператора соответствующей информации, полученной от правоохранительных органов;
код "15.6", если сведения об инциденте в правоохранительные органы не направлялись;
код "15.7", если отчитывающийся оператор не обладает информацией о направлении сведений об инциденте в правоохранительные органы.
22. В графе 16 раздела 3 Отчета указываются:
наименование банковского платежного агента (субагента), в случае если инцидент был выявлен банковским платежным агентом (субагентом);
наименование операционного центра, находящегося за пределами Российской Федерации, в случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П; наименование операционного центра, находящегося за пределами Российской Федерации, указывается в соответствии с реестром операторов платежных систем;
"инцидент выявлен клиентом", в случае если инцидент был выявлен клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств.
В иных случаях графа 16 раздела 3 Отчета не заполняется.
23. В случае если инцидент был выявлен банковским платежным агентом (субагентом), в графе 17 раздела 3 Отчета указывается код банковского платежного агента (субагента), являющегося юридическим лицом и выявившего в отчетном месяце инцидент, по Общероссийскому классификатору предприятий и организаций (ОКПО). В иных случаях графа 17 раздела 3 Отчета не заполняется.
24. В графе 18 раздела 3 Отчета указывается дата завершения отчитывающимся оператором разбирательства по инциденту (в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год). В случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, в графе 18 раздела 3 Отчета указывается дата завершения операционным центром, находящимся за пределами Российской Федерации, разбирательства по инциденту. В случае если на дату представления Отчета разбирательство по инциденту не завершено отчитывающимся оператором, графа 18 раздела 3 Отчета не заполняется.
25. В графе 19 раздела 3 Отчета указывается идентификатор (код) инцидента в формате "ММГГ.XXXX", где "ММ" - отчетный месяц, "ГГ" - две последние цифры года; "XXXX" - номер строки в разделе 3 Отчета.
26. В разделе 4 Отчета указываются сведения об инцидентах, выявленных в предыдущих отчетных периодах и разбирательство по которым завершено отчитывающимся оператором в отчетном периоде. Строка раздела 4 Отчета заполняется на основе сведений об инциденте, имеющихся у отчитывающегося оператора на дату окончания проведения отчитывающимся оператором разбирательства по данному инциденту, в том числе исходя из наличия новых сведений, выявленных в ходе разбирательства.
27. В графе 2 раздела 4 Отчета указывается идентификатор (код) инцидента, в соответствии с третьими разделами Отчетов, предоставленных отчитывающимся оператором в предыдущих отчетных периодах.
28. В графе 4 раздела 4 Отчета указываются без пробелов, через запятую:
дата завершения отчитывающимся оператором разбирательства по инциденту; в случае если отчитывающийся оператор является оператором платежной системы и сведения об инциденте указываются на основе информации, полученной в соответствии с абзацем седьмым подпункта 2.16.2 пункта 2.16 Положения Банка России N 382-П, указывается дата завершения операционным центром, находящимся за пределами Российской Федерации, разбирательства по инциденту;
дата возникновения инцидента.
Даты указываются в формате "дд.мм.гггг", где "дд" - день, "мм" - месяц, "гггг" - год.
29. Графы 3, 5 - 18 раздела 4 Отчета заполняются в соответствии с пунктами 8, 10 - 23 настоящей Методики соответственно.
30. Банк России принимает от отчитывающегося оператора, являющегося кредитной организацией, Отчет в соответствии с Указанием Банка России N 2851-У.
Банк России принимает от Внешэкономбанка, в случае если он является отчитывающимся оператором, Отчет по правилам, аналогичным установленным Указанием Банка России N 2851-У.
31. Отчет отчитывающегося оператора, являющегося кредитной организацией, принимается территориальным учреждением Банка России, осуществляющим надзор за деятельностью головного офиса кредитной организации.
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Московским ГТУ Банка России.
Банк России принимает Отчет отчитывающегося оператора, являющегося кредитной организацией или Внешэкономбанком, в виде электронного сообщения в формате, установленном Банком России, и снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
32. Прием Отчета в виде электронного сообщения отчитывающегося оператора, являющегося кредитной организацией, осуществляется Банком России в порядке, установленном Указанием Банка России N 1546-У.
Отчет Внешэкономбанка, в случае если он является отчитывающимся оператором, принимается Банком России в виде электронного сообщения в порядке, аналогичном установленному Указанием Банка России N 1546-У.
При этом средства аутентификации, обеспечивающие создание и проверку кодов аутентификации данных электронных сообщений, и правила их использования определяются Банком России и отчитывающимся оператором.
Структура файлов для передачи Отчета в виде электронного сообщения предоставляется отчитывающимся операторам территориальными учреждениями Банка России.
33. В случае если в отчетном периоде отчитывающимся оператором не было выявлено инцидентов и ему не стало известно ни об одном инциденте, разделы 2 и 3 Отчета должны содержать запись об отсутствии инцидентов.
В случае если в отчетном периоде отчитывающимся оператором не было завершено разбирательство ни по одному из инцидентов, выявленных в предыдущих отчетных периодах, раздел 4 Отчета должен содержать запись об отсутствии инцидентов.
34. Банк России принимает Отчет отчитывающегося оператора, не являющегося кредитной организацией или Внешэкономбанком, в следующем порядке.
34.1. Отчет принимается территориальным учреждением Банка России, находящимся на территории того же субъекта Российской Федерации, где зарегистрирован отчитывающийся оператор в качестве юридического лица.
Отчет принимается в виде электронного сообщения, снабженного кодом аутентификации, используемым для контроля целостности и подтверждения подлинности электронного сообщения.
34.2. Датой предоставления Отчета в виде электронного сообщения, снабженного кодом аутентификации, является дата отправления территориальным учреждением Банка России в адрес отчитывающегося оператора подтверждения о подлинности полученного территориальным учреждением Банка России электронного сообщения.
Если последний день срока предоставления Отчета приходится на выходной или нерабочий праздничный день, признаваемый таковым законодательством Российской Федерации, то окончание срока предоставления Отчета переносится на ближайший следующий за ним рабочий день.
34.3. При составлении и предоставлении Отчета отчитывающийся оператор обеспечивает полноту заполнения, достоверность и своевременность его предоставления.
34.4. В Отчете должны быть заполнены все строки и графы, предусмотренные для заполнения данными. В случае отсутствия данных по одному или нескольким показателям в соответствующей графе (строке) Отчета проставляются ноль для числовых показателей и прочерк по символьным показателям (если иное не предусмотрено настоящим Указанием).
34.5. В случае выявления фактов предоставления в Банк России недостоверных данных Отчета отчитывающийся оператор, допустивший искажения отчетных данных, осуществляет их исправление.
Исправление данных в Отчете осуществляется в срок не позднее десяти рабочих дней после дня выявления факта недостоверности предоставленных данных Отчета.
Исправленный Отчет повторно предоставляется в Банк России и сопровождается пояснениями, содержащими сведения об осуществленных исправлениях в Отчете, снабженными кодом аутентификации электронного сообщения.