Присоединяйтесь!
Зарегистрированных пользователей портала: 505 370. Присоединяйтесь к нам, зарегистрироваться очень просто →
Законодательство
Законодательство

"ПОЛОЖЕНИЕ О ПОРЯДКЕ ПРЕДСТАВЛЕНИЯ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ В УПОЛНОМОЧЕННЫЙ ОРГАН СВЕДЕНИЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПРОТИВОДЕЙСТВИИ ЛЕГАЛИЗАЦИИ (ОТМЫВАНИЮ) ДОХОДОВ, ПОЛУЧЕННЫХ ПРЕСТУПНЫМ ПУТЕМ, И ФИНАНСИРОВАНИЮ ТЕРРОРИЗМА" (утв. ЦБ РФ 29.08.2008 N 321-П) (ред. от 15.10.2015 с изменениями, вступившими в силу с 06.12.2015)

Дата документа29.08.2008
Статус документаДействует
МеткиПоложение · Правила · Порядок · Перечень · Справочник

    
    Зарегистрировано в Минюсте РФ 16 сентября 2008 г. N 12296
    


 

ЦЕНТРАЛЬНЫЙ БАНК РОССИЙСКОЙ ФЕДЕРАЦИИ

 

29 августа 2008 г. N 321-П

    

ПОЛОЖЕНИЕ
О ПОРЯДКЕ ПРЕДСТАВЛЕНИЯ КРЕДИТНЫМИ ОРГАНИЗАЦИЯМИ В УПОЛНОМОЧЕННЫЙ ОРГАН СВЕДЕНИЙ, ПРЕДУСМОТРЕННЫХ ФЕДЕРАЛЬНЫМ ЗАКОНОМ "О ПРОТИВОДЕЙСТВИИ ЛЕГАЛИЗАЦИИ (ОТМЫВАНИЮ) ДОХОДОВ, ПОЛУЧЕННЫХ ПРЕСТУПНЫМ ПУТЕМ, И ФИНАНСИРОВАНИЮ ТЕРРОРИЗМА"

 

(в ред. Указаний ЦБ РФ от 09.06.2012 N 2833-У, от 01.11.2012 N 2906-У, от 19.04.2013 N 2996-У, от 26.08.2014 N 3371-У, от 01.12.2014 N 3464-У, от 15.07.2015 N 3731-У, от 15.10.2015 N 3822-У)

 
    Центральный банк Российской Федерации на основании статьи 7 Федерального закона "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (Собрание законодательства Российской Федерации, 2001, N 33, ст. 3418; 2002, N 44, ст. 4296; 2004, N 31, ст. 3224; 2006, N 31, ст. 3446; 2007, N 16, ст. 1831; N 49, ст. 6036) (далее - Федеральный закон) и статьи 7 Федерального закона "О Центральном банке Российской Федерации (Банке России)" (Собрание законодательства Российской Федерации, 2002, N 28, ст. 2790; 2004, N 27, ст. 2711) устанавливает порядок представления кредитной организацией (филиалом кредитной организации) (далее - кредитная организация) в уполномоченный орган сведений об операциях с денежными средствами или иным имуществом, подлежащих обязательному контролю, а также об иных операциях с денежными средствами или иным имуществом, в отношении которых у кредитной организации возникают подозрения, что они осуществляются в целях легализации (отмывания) доходов, полученных преступным путем, и финансирования терроризма (далее - сведения, предусмотренные Федеральным законом).
 

Глава 1. Общие положения

 
    1.1. Для целей настоящего Положения применяются следующие понятия:
    отчет в виде электронного сообщения - сообщение, формируемое кредитной организацией для представления в уполномоченный орган, содержащее сведения об операциях, предусмотренных Федеральным законом, представленное в электронной форме и снабженное зарегистрированным кодом аутентификации (далее - ОЭС);
    извещение в виде электронного сообщения - сообщение о принятии (непринятии) территориальным учреждением Банка России ОЭС кредитной организации для доставки в уполномоченный орган или сообщение о принятии (непринятии) уполномоченным органом ОЭС или сведений об отдельных операциях, содержащихся в ОЭС кредитной организации, представленное в электронной форме (далее - ИЭС);
    аутентификация - процедура установления подлинности и целостности сообщения;
    установление подлинности и целостности - проверка сообщения, позволяющая получателю определить, что сообщение исходит из указанного источника и не было изменено при передаче его от источника до получателя;
    код аутентификации сообщения - данные, включаемые отправителем в состав сообщения и используемые получателем для установления подлинности и целостности сообщения и идентификации его отправителя (далее - КА);
    ключ КА - индивидуальные данные, используемые при создании и проверке КА и состоящие из:
    секретной части ключа КА - данных, предназначенных для создания отправителем КА (далее - секретный ключ КА),
    публичной части ключа КА - данных, предназначенных для аутентификации получателем (далее - открытый ключ КА);
    владелец ключа КА - кредитная организация, структурные подразделения Банка России, включая территориальные учреждения Банка России, ключ КА которых зарегистрирован в соответствии с приложением 1 к настоящему Положению.
 

Глава 2. Порядок формирования и направления кредитной организацией сведений, предусмотренных Федеральным законом, в уполномоченный орган

 
    2.1. Направление кредитной организацией в уполномоченный орган сведений, предусмотренных Федеральным законом, осуществляется в виде ОЭС через территориальное учреждение Банка России, осуществляющее надзор за деятельностью кредитной организации (далее - территориальное учреждение).
    2.2. Направление в уполномоченный орган ОЭС через территориальное учреждение филиалом кредитной организации допускается только для филиалов, имеющих банковский идентификационный код участника расчетов, осуществляющего платежи через расчетную сеть Центрального банка Российской Федерации (Банка России) (далее - БИК). В случае делегирования кредитной организацией такому филиалу полномочий по самостоятельному направлению ОЭС через территориальное учреждение в уполномоченный орган информация об этом доводится филиалом кредитной организации до территориального учреждения, осуществляющего надзор за его деятельностью, в произвольной письменной форме.
    Кредитная организация с учетом требований настоящего Положения устанавливает для всех ее структурных подразделений внутренний регламент формирования и направления в территориальное учреждение сведений, предусмотренных Федеральным законом.
    2.3. Передача-прием ОЭС кредитной организацией и территориальным учреждением осуществляются с применением средств криптографической защиты информации (далее - СКЗИ), принятых к использованию в Банке России. Обеспечение информационной безопасности при использовании СКЗИ осуществляется в порядке, установленном в приложении 1 к настоящему Положению.
    2.4. Кредитная организация снабжает ОЭС кодом аутентификации, затем зашифровывает его с применением ключей шифрования, используемых для обмена информацией с уполномоченным органом, после чего шифрованный ОЭС снабжается КА.
    2.5. Описание структуры файла ОЭС представлено в приложениях 3 и 4 к настоящему Положению.
    2.6. При формировании ОЭС допускается включение в одно ОЭС сведений о нескольких операциях.
    2.7. Ответственность за содержание данных, включаемых в ОЭС, несет кредитная организация - владелец ключа КА, которым снабжено ОЭС.
    2.8. Кредитная организация доставляет ОЭС, подготовленный в соответствии с пунктами 2.4 - 2.6 настоящего Положения, в территориальное учреждение по каналам связи или на магнитном носителе.
    Территориальное учреждение обеспечивает прием ОЭС кредитных организаций, доставленных в территориальное учреждение по каналам связи или на магнитном носителе, а также их контроль в соответствии с главой 3 настоящего Положения.
    2.9. В исключительных случаях, когда по независящим от нее причинам природного и техногенного характера кредитная организация не в состоянии самостоятельно подготовить ОЭС, допускается формирование кредитной организацией сведений, предусмотренных Федеральным законом, на бумажном носителе в порядке, установленном Положением о представлении информации в Федеральную службу по финансовому мониторингу организациями, осуществляющими операции с денежными средствами или иным имуществом, утвержденным Постановлением Правительства Российской Федерации от 17 апреля 2002 года N 245 (Собрание законодательства Российской Федерации, 2002, N 16, ст. 1572; 2003, N 4, ст. 327; 2004, N 44, ст. 4351; 2007, N 46, ст. 5582; 2008, N 18, ст. 2049).
 
 
    РЕФЕРЕНТ: В связи с утратой силы Постановления Правительства РФ от 17.04.2002 N 245, следует руководствоваться принятым взамен Постановления Правительства РФ от 19.03.2014 N 209.
 
 
    2.10. В случае приостановления кредитной организацией операции с денежными средствами или иным имуществом, а также при совершении операции по зачислению денежных средств, поступивших на счет физического или юридического лица, когда хотя бы одной из сторон такой операции является организация или физическое лицо, в отношении которых имеются полученные в установленном в соответствии с пунктом 2 статьи 6 Федерального закона порядке сведения об их участии в террористической деятельности, либо юридическое лицо, прямо или косвенно находящееся в собственности или под контролем таких организации или лица, либо физическое или юридическое лицо, действующее от имени или по указанию таких организации или лица (далее - операция, связанная с финансированием терроризма), кредитная организация в день приостановления или совершения такой операции формирует отдельный ОЭС, содержащий сведения о данной операции, и сразу после формирования направляет его в уполномоченный орган через территориальное учреждение по каналам связи или на магнитном носителе с признаком в имени файла, определяющим представление сведений об операциях, связанных с финансированием терроризма, в соответствии с приложением 5 настоящего Положения.
    Территориальное учреждение ведет контроль поступления ОЭС с признаком в имени файла, определяющим представление сведений об операциях, связанных с финансированием терроризма. При поступлении ОЭС с указанным признаком территориальное учреждение выделяет ОЭС из общего потока сообщений и незамедлительно передает его в Центр информационных технологий Банка России (далее - ЦИТ).
    ЦИТ по получении ОЭС, содержащего сведения об операции, связанной с финансированием терроризма, незамедлительно передает его в уполномоченный орган.
    2.11. При совершении операций, предусмотренных Федеральным законом, за исключением операций, указанных в пунктах 6 и 11 статьи 7.2 Федерального закона и пункте 2.10 настоящего Положения, кредитная организация формирует и направляет в уполномоченный орган через территориальное учреждение ОЭС, содержащий сведения о таких операциях, не позднее 16.00 по местному времени третьего рабочего дня, следующего за днем совершения или днем выявления таких операций. По согласованию с территориальным учреждением время получения ОЭС территориальным учреждением может быть увеличено, но не позднее чем до 17.30 местного времени третьего рабочего дня, следующего за днем совершения или днем выявления таких операций.
    (в ред. Указания ЦБ РФ от 09.06.2012 N 2833-У)
    Днем выявления операции, указанной в пункте 3 статьи 7 Федерального закона (далее - подозрительная операция), следует считать день, в который, в результате применения правил внутреннего контроля в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма, кредитной организацией было принято окончательное решение о признании операции клиента подозрительной.
    Процедура проверки информации о клиенте или его операции для подтверждения обоснованности подозрений в осуществлении клиентом легализации (отмывания) доходов, полученных преступным путем, или финансирования терроризма, применяется в соответствии с программой проверки информации о клиенте или операции клиента.
    Сведения об операциях, указанных в пунктах 6 и 11 статьи 7.2 Федерального закона, представляются в уполномоченный орган не позднее рабочего дня, следующего за днем признания операции подозрительной в порядке, установленном абзацем первым настоящего пункта.
    (в ред. Указания Банка России от 09.06.2012 N 2833-У)
    2.12. В случае если операция с денежными средствами или иным имуществом, подлежащая обязательному контролю, была выявлена кредитной организацией после третьего рабочего дня, следующего за днем ее совершения, кредитная организация формирует и направляет в уполномоченный орган через территориальное учреждение ОЭС, содержащий сведения о такой операции, в порядке, установленном пунктом 2.11 настоящего Положения.
    (в ред. Указания Банка России от 09.06.2012 N 2833-У)
    2.13. Принятые территориальным учреждением ОЭС, содержащие сведения, предусмотренные Федеральным законом, за исключением сведений об операциях, указанных в пункте 2.10 настоящего Положения, передаются территориальным учреждением в ЦИТ в день их принятия до 18.00 по местному времени.
    2.14. В случае если после получения от своего филиала, не передающего самостоятельно ОЭС в уполномоченный орган через территориальное учреждение, сведений о подозрительной операции, кредитная организация приняла решение о ненаправлении сведений об указанной операции в уполномоченный орган, то не позднее рабочего дня, следующего за днем принятия такого решения, кредитная организация направляет уведомление о нем в филиал. Кредитная организация самостоятельно определяет формат и порядок направления уведомления в филиал. Полученное уведомление хранится в филиале кредитной организации не менее 5 лет со дня его получения.
    2.15. При передаче информации из территориального учреждения в ЦИТ используются каналы связи, применяемые в Банке России для представления статистической информации.
    2.16. При передаче ОЭС в уполномоченный орган территориальное учреждение и ЦИТ обязаны обеспечить сохранность всех данных ОЭС, кроме КА, которым снабжено ОЭС после его шифрования, а также невозможность несанкционированного ознакомления с ОЭС третьими лицами.
 

Глава 3. Порядок контроля территориальным учреждением ОЭС, полученного от кредитной организации

 
    3.1. Территориальное учреждение проводит аутентификацию ОЭС, полученного от кредитной организации для доставки в уполномоченный орган.
    3.2. ОЭС кредитной организации, подлинность или целостность которого не установлена, исключается из дальнейшей обработки, при этом территориальное учреждение формирует и направляет кредитной организации ИЭС о непринятии территориальным учреждением ОЭС для доставки в уполномоченный орган с указанием причины отказа в приеме, снабженное КА, зарегистрированным в соответствии с приложением 1 к настоящему Положению.
    В случае получения кредитной организацией ИЭС территориального учреждения о непринятии ОЭС, направленного в уполномоченный орган, кредитная организация повторно готовит ОЭС и направляет его в порядке, определенном главой 2 настоящего Положения.
    3.3. В случае установления подлинности и целостности ОЭС кредитной организации территориальное учреждение формирует и направляет кредитной организации ИЭС о принятии территориальным учреждением ОЭС для доставки в уполномоченный орган.
    3.4. Территориальное учреждение направляет кредитной организации ИЭС о принятии (непринятии) ОЭС по каналам связи или на магнитном носителе.
    Кредитная организация обеспечивает прием ИЭС территориального учреждения о принятии (непринятии) ОЭС по каналам связи или на магнитном носителе.
    3.5. Территориальное учреждение формирует и направляет ИЭС о принятии (непринятии) ОЭС в кредитную организацию в день получения территориальным учреждением от кредитной организации ОЭС не позднее 18.00 по местному времени.
    3.6. Описание структуры файла ИЭС территориального учреждения представлено в приложении 6 к настоящему Положению.
    3.7. Контроль за формированием ИЭС обеспечивает территориальное учреждение - владелец ключа КА, которым снабжено ИЭС.
 

Глава 4. Порядок работы с ИЭС уполномоченного органа

 
    4.1. По результатам контроля уполномоченным органом каждого ОЭС формируется ИЭС, содержащее информацию о принятии (непринятии) уполномоченным органом сведений об отдельных операциях, включенных в ОЭС, или ОЭС в целом (далее - ИЭС уполномоченного органа).
    ИЭС уполномоченного органа направляется в ЦИТ для последующей передачи в кредитную организацию через территориальное учреждение.
    Описание структуры ИЭС уполномоченного органа представлено в приложении 7 к настоящему Положению.
    4.2. ЦИТ обеспечивает направление ИЭС уполномоченного органа в территориальное учреждение для доставки в кредитную организацию в день получения ИЭС от уполномоченного органа с использованием каналов связи, применяемых в Банке России для представления статистической информации.
    Направление ИЭС уполномоченного органа из ЦИТ в территориальное учреждение осуществляется в порядке, устанавливаемом Банком России.
    4.3. Территориальное учреждение обеспечивает направление ИЭС уполномоченного органа в кредитную организацию не позднее 18.00 по местному времени рабочего дня, следующего за днем направления ИЭС уполномоченным органом.
    Территориальное учреждение направляет ИЭС уполномоченного органа кредитной организации - отправителю соответствующего ОЭС по каналам связи или на магнитном носителе.
    Кредитная организация обеспечивает прием ИЭС уполномоченного органа от территориального учреждения по каналам связи или на магнитном носителе.
    4.4. ИЭС уполномоченного органа, направленное в кредитную организацию в отношении ОЭС, содержавшего сведения об операциях, связанных с финансированием терроризма, и переданного в уполномоченный орган в соответствии с пунктом 2.10 настоящего Положения, не может являться основанием для продления срока приостановления или совершения указанной операции кредитной организацией.
    4.5. По получении ИЭС уполномоченного органа с результатами обработки ОЭС, содержавшего сведения, предусмотренные Федеральным законом и относящиеся к операциям, которые были выявлены в филиале кредитной организации, не передающем самостоятельно ОЭС в уполномоченный орган, кредитная организация формирует и направляет не позднее рабочего дня, следующего за днем получения ИЭС уполномоченного органа, в филиал, представивший сведения об указанных операциях, уведомление о принятии (непринятии) уполномоченным органом сведений, представленных филиалом, либо копию ИЭС уполномоченного органа. Кредитная организация самостоятельно определяет формат и порядок направления уведомления либо копии ИЭС в филиал. Полученное уведомление либо копия ИЭС хранится в филиале кредитной организации не менее 5 лет со дня его получения.
    4.6. В случае получения ИЭС уполномоченного органа о непринятии ОЭС в целом кредитная организация формирует исправленный ОЭС с признаком корректировки в имени файла в соответствии с приложением 5 к настоящему Положению.
    В случае получения ИЭС уполномоченного органа о непринятии сведений об отдельных операциях в составе ОЭС кредитная организация формирует исправленные сведения о данных операциях в составе нового ОЭС.
    Исправленный ОЭС или ОЭС с исправленными сведениями об отдельных операциях направляется кредитной организацией в уполномоченный орган не позднее 16.00 по местному времени рабочего дня, следующего за днем получения кредитной организацией ИЭС уполномоченного органа в порядке, определенном пунктом 2.8 настоящего Положения. По согласованию кредитной организации с территориальным учреждением время получения ОЭС территориальным учреждением может быть увеличено, но не позднее чем до 17.30 местного времени рабочего дня.
    4.7. В случае неполучения кредитной организацией ИЭС уполномоченного органа в течение 4 рабочих дней со дня направления ОЭС в уполномоченный орган через территориальное учреждение и принятия его территориальным учреждением кредитная организация направляет письменный запрос в территориальное учреждение для выяснения причин недоставки ИЭС уполномоченного органа.
 

Глава 5. Хранение ОЭС и ИЭС кредитной организацией и территориальным учреждением

 
    5.1. Направленные кредитной организацией в уполномоченный орган ОЭС, по которым получены ИЭС о принятии их территориальным учреждением, а также указанные ИЭС территориального учреждения и ИЭС уполномоченного органа, полученные кредитной организацией в ответ на данный ОЭС, хранятся кредитной организацией в электронном виде не менее 5 лет со дня получения ИЭС уполномоченного органа.
    5.2. ОЭС, полученные от кредитной организации и прошедшие контроль в соответствии с главой 3 настоящего Положения, хранятся в территориальном учреждении в электронном виде вместе с ИЭС о принятии ОЭС территориальным учреждением и ИЭС уполномоченного органа на данный ОЭС в течение года со дня получения ИЭС уполномоченного органа в порядке, устанавливаемом Банком России.
    5.3. Программные и программно-аппаратные средства криптографической защиты информации и справочники ключей КА хранятся в территориальном учреждении и кредитной организации не менее 5 лет с момента их последнего применения при обработке ОЭС (ИЭС).
 

Глава 6. Порядок использования кредитными организациями нормативно-справочной информации при формировании ОЭС, правила формирования ОЭС и заполнения отдельных полей записей ОЭС

 
    6.1. Правила формирования ОЭС и заполнения отдельных полей записей ОЭС представлены в приложении 3 к настоящему Положению.
    6.2. Кредитная организация при формировании ОЭС использует информацию, содержащуюся в следующих классификаторах и справочниках.
    6.2.1. Для идентификации территорий, на которых зарегистрированы кредитные организации, формирующие ОЭС, используется Общероссийский классификатор объектов административно-территориального деления (далее - ОКАТО).
    6.2.2. Для идентификации стран и территорий регистрации, места нахождения, жительства и пребывания участников операций используется Общероссийский классификатор стран мира (далее - ОКСМ).
    6.2.3. Для указания в ОЭС кода валюты операции используется Общероссийский классификатор валют.
    6.2.4. Для идентификации кредитных организаций, формирующих ОЭС, используются их регистрационные номера, содержащиеся в Книге государственной регистрации кредитных организаций (далее - КГРКО), и банковские идентификационные коды, содержащиеся в Справочнике банковских идентификационных кодов участников расчетов, осуществляющих платежи через расчетную сеть Центрального банка Российской Федерации (Банка России) (далее - Справочник БИК России).
    6.2.5. Для идентификации видов операций, сведения о которых в составе ОЭС представляются кредитной организацией в уполномоченный орган, используется Перечень видов операций, сведения о которых представляются в уполномоченный орган в соответствии с Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Перечень видов операций, сведения о которых представляются в уполномоченный орган), содержащийся в приложении 8 к настоящему Положению.
    6.2.6. В целях определения характера иных операций, информация о которых представляется кредитной организацией в уполномоченный орган, используется перечень признаков, указывающих на необычный характер сделки (классификатор), содержащийся в приложении к Положению Банка России от 2 марта 2012 года N 375-П "О требованиях к правилам внутреннего контроля кредитной организации в целях противодействия легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", зарегистрированному Министерством юстиции Российской Федерации 6 апреля 2012 года N 23744 ("Вестник Банка России" от 18 апреля 2012 года N 20), (далее - Положение Банка России от 2 марта 2012 года N 375-П).
    (в ред. Указания ЦБ РФ от 19.04.2013 N 2996-У)
    6.2.7. В целях указания в ОЭС кода документа, удостоверяющего личность, используется Справочник кодов видов документов, удостоверяющих личность или подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации, используемых при представлении кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" (далее - Справочник кодов видов документов, удостоверяющих личность или подтверждающих право иностранного гражданина или лица без гражданства на пребывание (проживание) в Российской Федерации), содержащийся в приложении 10 к настоящему Положению.
 

Глава 7. Заключительные положения

 
    7.1. Настоящее Положение подлежит официальному опубликованию в "Вестнике Банка России" и в соответствии с решением Совета директоров Банка России (протокол заседания Совета директоров Банка России от 25.08.2008 N 17) вступает в силу с 1 января 2009 года.
    7.2. Со дня вступления в силу настоящего Положения Положение Банка России от 20 декабря 2002 года N 207-П "О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", зарегистрированное Министерством юстиции Российской Федерации 4 января 2003 года N 4092 ("Вестник Банка России" от 10 января 2003 года N 2) и Указание Банка России от 17 августа 2004 года N 1490-У "О внесении изменений в Положение Банка России от 20 декабря 2002 года N 207-П "О порядке представления кредитными организациями в уполномоченный орган сведений, предусмотренных Федеральным законом "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма", зарегистрированное Министерством юстиции Российской Федерации 3 сентября 2004 года N 2004 ("Вестник Банка России" от 10 сентября 2004 года N 54) действуют в течение 5 лет для случаев формирования исправленного ОЭС по ОЭС, направленному до 1 января 2009 года и не принятому уполномоченным органом, либо ОЭС, формируемого на замену, удаление, по ОЭС, направленному до 1 января 2009 года и принятому уполномоченным органом.
 

Председатель Центрального банка
Российской Федерации
С.М.ИГНАТЬЕВ

 

СОГЛАСОВАНО
Руководитель Федеральной службы
по финансовому мониторингу
Ю.А.ЧИХАНЧИН

 
 
    

Приложение 1
к Положению Банка России
от 29.08.2008 N 321-П
"О порядке представления
кредитными организациями
в уполномоченный орган
сведений, предусмотренных
Федеральным законом
"О противодействии легализации
(отмыванию) доходов,
полученных преступным путем,
и финансированию терроризма"

    

ПОРЯДОК
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ОЭС

 
    1. Передача ОЭС кредитной организацией и прием ОЭС территориальным учреждением осуществляются с применением СКЗИ: средств формирования КА и средств шифрования. Конкретные СКЗИ и способы их использования определяются Банком России.
    2. Установка и настройка СКЗИ на автоматизированное рабочее место, с которого осуществляется передача ОЭС кредитной организации (далее - АРМ), выполняются с учетом требований, изложенных в эксплуатационной документации на СКЗИ, в присутствии администратора АРМ, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности программного обеспечения СКЗИ.
    3. Технологический процесс передачи и обработки ОЭС с использованием СКЗИ регламентируется и обеспечивается инструктивными и методическими материалами.
    4. Каждый из участников обмена (кредитная организация и территориальное учреждение) может иметь резервные ключи КА и ключи шифрования.
    5. Каждый из участников обмена определяет и утверждает порядок учета, хранения и использования носителей секретных ключей КА и ключей шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
    6. Открытые ключи КА, изготавливаемые кредитной организацией и используемые при формировании КА ОЭС, подлежат регистрации в регистрационном центре территориального учреждения. Для регистрации ключа средствами СКЗИ изготавливается регистрационная карточка в двух экземплярах (приложение 2 к настоящему Положению), один из которых остается в территориальном учреждении, другой возвращается кредитной организации. Порядок распределения серий и номеров ключей КА определяется Банком России.
    7. Ключи шифрования для работы с ОЭС изготавливаются Банком России и передаются кредитной организации территориальным учреждением вместе с соответствующим справочником открытых ключей шифрования. Для данных ключей изготовление регистрационной карточки не требуется.
    8. Факт передачи территориальным учреждением ключей шифрования и соответствующего справочника открытых ключей шифрования кредитной организации регистрируется в соответствии с порядком, определяемым территориальным учреждением (оформляется актом или записью в журнале). Форма журнала передачи ключей шифрования или форма акта передачи ключей шифрования устанавливается территориальным учреждением.
    9. Руководство каждого из участников обмена утверждает список ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и ключей шифрования (далее - уполномоченные лица), с указанием конкретной информации по каждому уполномоченному лицу.
    10. Для хранения носителей секретных ключей КА и ключей шифрования в помещениях участников обмена должны устанавливаться металлические хранилища, оборудованные приспособлениями для опечатывания и запирающими устройствами с двумя экземплярами ключей (один экземпляр ключей хранится у уполномоченного лица, другой - в службе безопасности или у руководителя кредитной организации, территориального учреждения). Хранение носителей секретных ключей КА и ключей шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом уполномоченным лицом.
    11. Доступ неуполномоченных лиц к носителям секретных ключей КА и ключей шифрования не допускается.
    12. По окончании рабочего дня, а также в то время, когда формирование и передача ОЭС не осуществляется, носители секретных ключей КА и ключей шифрования должны находиться в хранилищах.
    13. Не допускается:
    снимать несанкционированные копии с носителей секретных ключей КА и ключей шифрования;
    знакомить с содержанием носителей секретных ключей КА и ключей шифрования неуполномоченных лиц или передавать носители секретных ключей КА и ключей шифрования неуполномоченным лицам;
    выводить секретные ключи КА и ключи шифрования на дисплей (монитор) персональной электронной вычислительной машины (далее - ПЭВМ) или принтер;
    устанавливать носитель секретных ключей КА и ключей шифрования в считывающее устройство ПЭВМ АРМ в непредусмотренных режимах функционирования системы обработки и передачи ОЭС, а также в другие ПЭВМ;
    записывать на носитель секретных ключей КА и ключей шифрования постороннюю информацию.
    14. При компрометации секретного ключа КА и (или) ключа шифрования, под которой понимается событие, определенное владельцем ключа КА и (или) ключа шифрования как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА и (или) ключом шифрования, участник обмена, допустивший компрометацию, обязан немедленно предпринять все меры для прекращения любых операций с ОЭС с использованием скомпрометированного ключа КА и (или) ключа шифрования, а также письменно проинформировать о факте компрометации других участников обмена не позднее рабочего дня, следующего за днем компрометации.
    15. При компрометации секретного ключа КА и (или) ключа шифрования участникам обмена необходимо вывести данный секретный и соответствующий ему открытый ключ из действия и организовать их внеплановую замену.
    16. По факту компрометации секретного ключа КА и (или) ключа шифрования участник обмена, допустивший компрометацию, организовывает и проводит служебное расследование, результаты которого отражаются в акте служебного расследования.
    17. Кредитная организация и территориальное учреждение принимают согласованное решение о сроках замены скомпрометированного ключа КА и (или) ключа шифрования и о дальнейших действиях по обмену ОЭС до замены скомпрометированного ключа КА и (или) ключа шифрования.
    18. В случаях увольнения, перевода в другое подразделение, на другую должность, изменения функциональных обязанностей уполномоченного лица, влекущих прекращение его доступа к носителям секретных ключей КА и (или) ключей шифрования, должна быть проведена замена ключей, к которым он имел доступ.
    19. Допускается использование в качестве носителей секретных ключей КА и (или) ключей шифрования любых поддерживаемых СКЗИ типов носителей. При изготовлении ключей (копий ключей) тип носителей, выбранных для размещения секретных ключей, регламентируется внутренними документами кредитной организации. Секретные ключи шифрования, полученные кредитной организацией в территориальном учреждении, являются оригиналами. В кредитной организации в соответствии с внутренними документами с оригинала изготавливается необходимое количество рабочих копий с использованием программного обеспечения СКЗИ на выбранный допустимый тип носителя.
    При использовании в качестве носителей секретных ключей КА и ключей шифрования устройств, подключаемых к USB-порту ПЭВМ, принимаются все меры для исключения возможности несанкционированного копирования информации.
 
 
 

Приложение 2
к Положению Банка России
от 29.08.2008 N 321-П
"О порядке представления
кредитными организациями
в уполномоченный орган
сведений, предусмотренных
Федеральным законом
"О противодействии легализации
(отмыванию) доходов,
полученных преступным путем,
и финансированию терроризма"

    

РЕГИСТРАЦИОННАЯ КАРТОЧКА N ___ ОТКРЫТОГО КЛЮЧА КОДА АУТЕНТИФИКАЦИИ   СКЗИ: _____________, регистрационный номер: ****** Кредитная организация: ___________________________ Предназначение ключа КА: _________________________ Ключ действующий Серия: ****** Номер: **** Открытый ключ: ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** ** **