Настоящее Указание на основании части 4, 6 и 7 статьи 27 Федерального закона от 27 июня 2011 года N 161-ФЗ "О национальной платежной системе" (Собрание законодательства Российской Федерации, 2011, N 27, ст. 3872; 2012, N 53, ст. 7592; 2013, N 27, ст. 3477; N 30, ст. 4084; N 52, ст. 6968; 2014, N 19, ст. 2315, ст. 2317; N 43, ст. 5803; 2015, N 1, ст. 8, ст. 14; 2016, N 27, ст. 4221, ст. 4223; 2017, N 15, ст. 2134; N 18, ст. 2665; N 30, ст. 4456) (далее - Федеральный закон N 161-ФЗ) устанавливает:
форму и порядок направления операторами по переводу денежных средств, операторами платежных систем, операторами услуг платежной инфраструктуры (далее при совместном упоминании - участники информационного обмена) в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения участниками информационного обмена от Банка России информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента (далее - взаимодействие Банка России с участниками информационного обмена);
порядок реализации участниками информационного обмена мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
Глава 1. Общие положения
1.1. Взаимодействие Банка России с участниками информационного обмена осуществляется в целях:
формирования и ведения Банком России базы данных о случаях и попытках осуществления переводов денежных средств без согласия клиента путем получения Банком России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента от участников информационного обмена;
обеспечения возможности использования участниками информационного обмена информации, содержащейся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента, в целях проведения участниками информационного обмена мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
1.2. Участники информационного обмена направляют в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента.
Банк России направляет участникам информационного обмена информацию, содержащуюся в базе данных о случаях и попытках осуществления переводов денежных средств без согласия клиента (далее - распространяемая информация о случаях и попытках осуществления переводов денежных средств без согласия клиента), в целях ее применения при проведении мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
Банк России при получении от участников информационного обмена информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента хранит, обрабатывает и применяет указанную информацию.
Обработка и применение Банком России полученной от участников информационного обмена информации включает:
подготовку Банком России аналитических обзоров переводов денежных средств без согласия клиента и их публикацию на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - официальный сайт Банка России в сети "Интернет");
включение Банком России информации о случаях и попытках осуществления переводов денежных средств без согласия клиента в базу данных о случаях и попытках осуществления переводов денежных средств без согласия клиента;
отнесение информации к распространяемой при достижении критериев, установленных Банком России в организационно-распорядительных документах и ее последующее распространение Банком России в адрес участников информационного обмена.
1.3. Направление участниками информационного обмена информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и направление Банком России распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента осуществляется с использованием технической инфраструктуры (автоматизированной системы) Банка России.
Банк России размещает информацию о технической инфраструктуре (автоматизированной системе) Банка России, а также о резервном способе взаимодействия участников информационного обмена на официальном сайте Банка России в информационно-телекоммуникационной сети "Интернет" (далее - сеть "Интернет").
1.4. При получении от Банка России распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента участники информационного обмена применяют ее в рамках проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента.
В рамках проведения указанных мероприятий участники информационного обмена могут создать систему выявления и мониторинга переводов денежных средств без согласия клиентов в соответствии со своими внутренними документами, устанавливающими порядок работы с ней.
1.5. Информация о случаях и (или) попытках осуществления переводов денежных средств без согласия клиента (в том числе сведения об операциях, о счетах и вкладах, в отношении которых были зафиксированы случаи и (или) попытки осуществления переводов денежных средств без согласия клиента) представляется участниками информационного обмена в Банк России, а Банк России может предоставить полученную от участников информационного обмена иным участникам информационного обмена информацию в случаях, предусмотренных Федеральным законом N 161-ФЗ в соответствии с частью 41 статьи 26 Федерального закона 2 декабря 1990 года N 395-1 "О банках и банковской деятельности" (в редакции Федерального закона от 3 февраля 1996 года N 17-ФЗ) (Ведомости Съезда народных депутатов РСФСР и Верховного Совета РСФСР, 1990, N 27, ст. 357; Собрание законодательства Российской Федерации, 1996, N 6, ст. 492; 2001, N 33, ст. 3424; 2003, N 27, ст. 2700; N 52, ст. 5033; 2004, N 27, ст. 2711; 2005, N 1, ст. 45; 2007, N 31, ст. 4011; N 41, ст. 4845; 2009, N 23, ст. 2776; N 30, ст. 3739; 2010, N 31, ст. 4193; N 47, ст. 6028; 2011, N 7, ст. 905; N 27, ст. 3873; N 48, ст. 6730; N 50, ст. 7351; 2012, N 27, ст. 3588; N 50, ст. 6954; N 53, ст. 7605; 2013, N 11, ст. 1076; N 19, ст. 2329; N 26, ст. 3207; N 27, ст. 3438; N 30, ст. 4084; N 51, ст. 6699; 2014, N 26, ст. 3395; N 52, ст. 7543; 2015, N 27, ст. 3950; N 29, ст. 4357; 2017, N 18, ст. 2661).
1.6. Информация обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, в том числе полученная Банком России от участников информационного обмена в рамках информационного обмена и распространяемая Банком России в адрес участников информационного обмена, подлежит обязательной защите в соответствии с требованиями законодательства Российской Федерации.
Глава 2. Форма, порядок направления участниками информационного обмена в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента и получения участниками информационного обмена от Банка России распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента
2.1. Оператор по переводу денежных средств, обслуживающий плательщика, включая оператора электронных денежных средств, оператор услуг платежной инфраструктуры направляет в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента в соответствии с формой предоставления данных, используемой участниками информационного обмена для информирования Банка России об инцидентах, связанных с нарушением требований к обеспечению защиты информации, в том числе обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, размещаемой на официальном сайте Банка России в сети "Интернет", содержащейся в следующих уведомлениях.
2.1.1. Первичное уведомление, содержащее:
информацию, определяющую:
плательщика;
параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента;
получателя средств.
2.1.2. Промежуточное уведомление, содержащее:
информацию, определяющую:
технические данные, описывающие атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов;
номер заявления клиента, при его наличии - физического, юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой с приложением талона - корешка о приеме и регистрации указанного заявления в Книге учета сообщений о преступлениях при его обращении в правоохранительные органы;
дополнительные и уточняющие сведения, ранее направленные в первичном уведомлении и (или) в предыдущем промежуточном уведомлении.
2.1.3. Окончательное уведомление, содержащее:
информацию, определяющую результат окончания рассмотрения участниками информационного обмена случаев и попыток осуществления переводов денежных средств без согласия клиента, связанных с атаками на информационную инфраструктуру оператора по переводу денежных средств, оператора информационной инфраструктуры.
2.2. Уведомления, указанные в подпунктах 2.1.1 - 2.1.3 пункта 2.1 настоящего Указания, направляются в Банк России оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры при наступлении следующих событий:
при получении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, уведомлений в предусмотренной договором форме от клиентов - физических, юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
при выявлении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций, соответствующих признакам осуществления перевода денежных средств без согласия клиента, установленным Банком России и размещаемым на официальном сайте Банка России в сети "Интернет";
при выявлении оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, операций по переводу денежных средств и получения наличных денежных средств, совершенных в результате несанкционированного доступа к объектам информационной инфраструктуры оператора по переводу денежных средств, в том числе при уменьшении остатка электронных денежных средств, за исключением виртуальных платежных карт;
при получении расчетным центром платежной системы уведомлений от участников платежной системы о списании денежных средств с их корреспондентских счетов без их согласия и (или) с использованием искаженной информации, содержащейся в распоряжениях платежных клиринговых центров или участников платежной системы;
при выявлении оператором по переводу денежных средств, включая оператора электронных денежных средств, и (или) оператором услуг платежной инфраструктуры атак, последствия от реализации которых, могут привести к случаям и попыткам осуществления переводов денежных средств без согласия клиента, указанным в абзацах 2 - 6 настоящего подпункта.
2.3. К информации, определяющей плательщика, содержащейся в первичном уведомлении, указанном в подпункте 2.1.1 пункта 2.1 настоящего Указания, относится информация:
о банковском идентификационном коде (далее - БИК) оператора по переводу денежных средств, включая оператора электронных денежных средств, обслуживающего плательщика;
о результате вычисления функции хэширования номера документа, удостоверяющего личность в целях идентификации лица - плательщика, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
о результате вычисления функции хэширования страхового номера индивидуального лицевого счета застрахованного лица в системе персонифицированного учета Пенсионного фонда Российской Федерации (далее - СНИЛС) плательщика, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа при его наличии;
об идентификационном номере налогоплательщика (далее - ИНН) плательщика - юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой, при его наличии.
2.3.1. При осуществлении переводов денежных средств с использованием платежных карт к информации, определяющей плательщика, относится информация:
о номере платежной карты плательщика, выданной ему и (или) лицу, уполномоченному плательщиком, оператором по переводу денежных средств - эмитентом;
о сумме операции по осуществлению перевода денежных средств с использованием платежных карт;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени операции по осуществлению перевода денежных средств;
уникальный реквизит (совокупность реквизитов), генерируемый(ая) для операции по переводу денежных средств и позволяющий(ая) однозначно идентифицировать операцию оператором по переводу денежных средств, обслуживающим получателя средств, оператором по переводу денежных средств, обслуживающим плательщика.
2.3.2. При осуществлении переводов денежных средств по банковским счетам посредством списания денежных средств с банковских счетов плательщиков к информации, определяющей плательщика, относится информация:
о номере банковского счета плательщика, открытого у оператора по переводу денежных средств, обслуживающего плательщика;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени операции по осуществлению перевода денежных средств.
2.3.3. При осуществлении переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи к информации, определяющей плательщика, относится информация:
об абонентском номере подвижной радиотелефонной связи плательщика;
о сумме операции;
о валюте операции;
о дате и времени операции.
2.3.4. При осуществлении операции за счет изменения остатка лицевого счета абонента системы подвижной радиотелефонной связи за счет средств платежной карты:
о номере платежной карты плательщика, выданной ему и (или) лицу, уполномоченному плательщиком, оператором по переводу денежных средств - эмитентом;
о сумме операции;
о валюте операции;
о дате и времени операции.
2.3.5. При осуществлении операции за счет изменения остатка электронных денежных средств, за исключением виртуальных платежных карт, к информации, определяющей плательщика, относится информация:
об идентификационном номере плательщика, в частности о номере электронного средства платежа (за исключением предоплаченных платежных карт), использованного в дистанционных системах (средствах) для доступа к остаткам электронных денежных средств (далее - электронный кошелек), используемого им на основании договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств;
о наименовании электронного кошелька;
о сумме операции по изменению остатка электронных денежных средств;
о валюте операции по изменению остатка электронных денежных средств;
о дате и времени операции.
2.4. К информации, определяющей параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, содержащейся в первичном уведомлении, указанном в подпункте 2.1.1 пункта 2.1 настоящего Указания относится информация:
о сетевом адресе компьютера и (или) коммуникационного устройства (маршрутизатора) (IP);
о международном идентификаторе мобильного абонента (индивидуальном номере абонента (клиента - физического лица)), по которому система распознает пользователя мобильной связи, использующего стандарты GSM и UMTS (IMSI);
о международном идентификаторе мобильного оборудования (мобильного устройства клиента - физического лица) (IMEI);
об идентификаторе банкомата и (или) платежного терминала, с применением которых осуществляется операция по переводу денежных средств и (или) получение наличных денежных средств (Card acceptor terminal identification);
об идентификаторе банкомата и (или) платежного терминала, с применением которых осуществляется операция по переводу денежных средств и (или) получение наличных денежных средств (Card acceptor identification code).
Информация, определяющая параметры устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента направляется в Банк России оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры при наличии технической возможности ее получения.
2.5. К информации, определяющей получателя средств, содержащейся в первичном уведомлении, указанном в подпункте 2.1.1 пункта 2.1 настоящего Указания относится следующая информация.
2.5.1. При осуществлении переводов денежных средств с использованием платежных карт к информации, определяющей получателя средств, относится информация о номере платежной карты получателя средств, выданной ему и (или) лицу, уполномоченному получателем средств, оператором по переводу денежных средств - эмитентом.
2.5.2. При осуществлении переводов денежных средств по банковским счетам посредством зачисления денежных средств на банковские счета получателей средств к информации, определяющей получателя средств, относится информация:
о БИК оператора по переводу денежных средств, обслуживающего получателя средств;
об ИНН получателя средств - юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой, при его наличии;
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств.
2.5.3. При осуществлении переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи к информации, определяющей получателя средств, относится информация:
о номере подвижной радиотелефонной связи получателя средств;
о БИК оператора по переводу денежных средств, обслуживающего получателя средств.
2.5.4. При осуществлении операции за счет изменения остатка лицевого счета абонента системы подвижной радиотелефонной связи за счет средств платежной карты к информации, определяющей получателя средств, относится информация об абонентском номере подвижной радиотелефонной связи получателя средств.
2.5.5. При осуществлении операции за счет изменения остатка электронных денежных средств, за исключением виртуальных платежных карт, к информации, определяющей получателя средств, относится информация об идентификационном номере получателя средств, в частности номере электронного кошелька получателя средств, используемого им на основании договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств, о наименовании электронного кошелька.
2.6. Первичные уведомления, указанные в подпункте 2.1.1 пункта 2.1 настоящего Указания направляются в Банк России участниками информационного обмена в срок не позднее одного рабочего дня, следующего за наступлением событий, указанных в пункте 2.2 настоящих Указаний.
2.7. Информация о технических данных, описывающих атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, содержащаяся в промежуточном уведомлении, указанном в подпункте 2.1.2 пункта 2.1 настоящего Указания приведена в Приложении N 1 к настоящему Указанию.
Информация о технических данных, описывающих атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов, при наличии технической возможности направляется оператором по переводу денежных средств, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры в случаях, предусмотренных в пункте 2.2 настоящего Указания:
значимыми субъектами критической информационной инфраструктуры в течение трех часов с момента ее получения;
иными участниками информационного обмена в течение двух рабочих дней с момента ее получения.
2.8. Информация о номере заявления клиента - физического, юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой, содержащаяся в промежуточном уведомлении, указанном в подпункте 2.1.2 пункта 2.1 настоящего Указания, направляется оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры в Банк России в случае наличия фактов подтверждающих обращение клиента в правоохранительные органы.
2.9. Оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры направляется в Банк России информация о дополнительных и уточняющих сведениях, ранее направленных в первичном уведомлении и (или) в предыдущем промежуточном уведомлении, содержащейся в промежуточном уведомлении, указанном в подпункте 2.1.2 пункта 2.1 настоящего Указания.
2.10. К информации, определяющей результат окончания рассмотрения участниками информационного обмена случаев и попыток осуществления переводов денежных средств без согласия клиента, содержащейся в окончательном уведомлении, указанном в подпункте 2.1.3 пункта 2.1 настоящего Указания, относится информация:
о реализации мер, предпринятых оператором по переводу денежных средств, оператором услуг платежной инфраструктуры по выявлению и устранению причин и последствий атак, направленных на информационную инфраструктуру участников информационного обмена и (или) их клиентов, связанных с возникновением и дальнейшим предотвращением случаев и попыток осуществления переводов денежных средств без согласия клиента;
об уточнении сведений, ранее направленных оператором по переводу денежных средств, оператором услуг платежной инфраструктуры в первичном и (или) промежуточном уведомлениях.
Окончательное уведомление направляется оператором по переводу денежных средств, обслуживающим плательщика, включая оператора электронных денежных средств, оператором услуг платежной инфраструктуры в Банк России в течение трех рабочих дней с момента окончания рассмотрения случаев и попыток осуществления переводов денежных средств без согласия клиента.
2.11. Банк России при получении информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента от оператора по переводу денежных средств, обслуживающего плательщика, включая оператора электронных денежных средств, направляет оператору по переводу денежных средств, обслуживающему получателя средств, включая оператора электронных денежных средств, в соответствии с формой предоставления данных, используемой для реализации запроса Банка России к оператору по переводу денежных средств, обслуживающему получателя средств, размещаемой на официальном сайте Банка России в сети "Интернет", запрос о предоставлении следующей информации.
2.11.1. О наименовании оператора по переводу денежных средств, обслуживающего плательщика.
2.11.2. При осуществлении переводов денежных средств с использованием платежных карт направляет информацию:
о номере платежной карты получателя средств, выданной ему и (или) лицу, уполномоченному получателем средств, оператором по переводу денежных средств - эмитентом, при его наличии;
о сумме операции по осуществлению перевода денежных средств с использованием платежных карт;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени операции по осуществлению перевода денежных средств;
уникальный реквизит (совокупность реквизитов), генерируемый(ая) для операции по переводу денежных средств и позволяющий(ая) однозначно идентифицировать операцию оператором по переводу денежных средств, обслуживающим получателя средств, оператором по переводу денежных средств, обслуживающим плательщика.
2.11.3. При осуществлении переводов денежных средств по банковским счетам направляет информацию:
о номере банковского счета получателя средств, открытого у оператора по переводу денежных средств, обслуживающего получателя средств;
о сумме операции по осуществлению перевода денежных средств;
о валюте операции по осуществлению перевода денежных средств;
о дате и времени операции по осуществлению перевода денежных средств.
2.11.4. При осуществлении переводов денежных средств с использованием абонентского номера подвижной радиотелефонной связи направляет информацию:
об абонентском номере подвижной радиотелефонной связи получателя средств;
о сумме операции;
о валюте операции;
о дате и времени операции.
2.11.5. При осуществлении операции за счет изменения остатков электронных денежных средств, за исключением виртуальных платежных карт, направляет информацию:
об идентификационном номере получателя средств, в частности номере электронного кошелька получателя средств, используемого им на основании договора об использовании электронного средства платежа, заключенного с оператором по переводу денежных средств;
о сумме операции по изменению остатка электронных денежных средств;
о валюте операции по изменению остатка электронных денежных средств;
о дате и времени операции;
2.12. Оператор по переводу денежных средств, обслуживающий получателя средств, включая оператора электронных денежных средств, в ответ на запрос Банка России, указанный в пункте 2.11 настоящего Указания, направляет в Банк России с использованием технической инфраструктуры (автоматизированной системы) Банка России информацию, определяющую получателя средств в соответствии с формой предоставления данных, определяющего получателя средств, размещаемой на официальном сайте Банка России в сети "Интернет".
2.12.1. При переводах денежных средств по банковским счетам, в том числе с использованием платежных карт, осуществляемых в пользу физических лиц, а также при осуществлении операции за счет изменения остатка электронных денежных средств, направляет информацию:
о результате вычисления функции хэширования номера документа, удостоверяющего личность получателя средств - физического лица, в целях идентификации лица - физического лица - получателя средств, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
о результате вычисления функции хэширования СНИЛС получателя средств - физического лица, в целях идентификации лица - физического лица - получателя средств, направившего уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа, при его наличии.
2.12.2. При переводах денежных средств по банковским счетам, в том числе с использованием платежных карт, осуществляемых в пользу юридических лиц, индивидуальных предпринимателей или лиц, занимающихся частной практикой, направляет информацию:
о результате вычисления функции хэширования номера документа, удостоверяющего личность, в целях идентификации обратившегося (обратившихся) лиц (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами - получателя (получателей) средств, направившего (направивших) уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа;
о результате вычисления функции хэширования СНИЛС получателя (получателей) средств - лица (лиц), уполномоченного (уполномоченных) распоряжаться денежными средствами - получателя (получателей) средств, направившего (направивших) уведомление о случаях и (или) попытках переводов денежных средств без согласия клиента, в том числе об использовании электронных средств платежа при его наличии;
об ИНН получателя - юридического лица, индивидуального предпринимателя или лица, занимающегося частной практикой.
2.12.3. Информацию о случаях возврата денежных средств оператору по переводу денежных средств, обслуживающему плательщика и (или) плательщику:
клиентам - физическим лицам в соответствии с правилами платежных систем;
клиентам - юридическим лицам в соответствии с частью 11.4 статьи 9 Федерального закона N 161-ФЗ.
Информация в ответ на запрос Банка России, указанный в настоящем пункте Указания, направляется в Банк России:
по пунктам 2.12.1 - 2.12.2 - не позднее рабочего дня следующего за днем получения от Банка России соответствующего запроса;
по пункту 2.12.3 - в течение трех рабочих дней с момента ее получения.
2.13. Оператор платежной системы при получении запроса от Банка России направляет в Банк России информацию обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента, полученную при реализации оператором платежной системы своих функций:
при выявлении в платежной системе инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств в соответствии с подпунктом 2.13.1 пункта 2.13 Положения Банка России от 9 июня 2012 года N 382-П "О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств", а также в соответствии с правилами платежных систем;
при сборе информации от участников платежной системы об операциях по переводу денежных средств без согласия клиента.
Глава 3. Порядок реализации участниками информационного обмена мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента
3.1. При получении от Банка России распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента участники информационного обмена применяют указанную информацию в своей деятельности, в целях выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, в том числе при проведении мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с частью 4 статьи 27 Федерального закона N 161-ФЗ.
3.2. При получении от Банка России информации о технических данных, описывающих атаки, направленные на информационную инфраструктуру участников информационного обмена и (или) их клиентов, участники информационного обмена осуществляют мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с национальным стандартом Российской Федерации ГОСТ Р 57580.1-2017 "Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Базовый состав организационных и технических мер", утвержденным приказом Росстандарта от 8 августа 2017 года N 822-ст "Об утверждении национального стандарта" (М., ФГУП "Стандартинформ", 2017), в том числе:
выявляют маркеры "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемые для осуществления переводов денежных средств;
настраивают и (или) дорабатывают системы обнаружения и предотвращения вторжений;
контролируют отсутствие известных (описанных) уязвимостей информационной инфраструктуры оператора по переводу денежных средств и его клиентов и обеспечивают их оперативное устранение.
3.3. В рамках проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента оператор по переводу денежных средств осуществляет следующие мероприятия:
3.3.1. В рамках реализуемой системы управления рисками определяет в документах, регламентирующих процедуры управления рисками, процедуры выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента, на основе анализа характера, параметров и объема, совершаемых клиентами оператора по переводу денежных средств операций (осуществляемой клиентами деятельности);
3.3.2. Применяет распространяемую информацию о случаях и попытках осуществления переводов денежных средств без согласия клиента для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента;
3.3.3. Использует технические данные, описывающие атаки, направленные на объекты информационной инфраструктуры операторов по переводу денежных средств и (или) их клиентов применительно к своей инфраструктуре;
3.3.4. При получении от Банка России распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента, среди которой, в том числе содержится информация о получателе средств, в адрес которого ранее совершались операции по переводу денежных средств без согласия клиента, который является клиентом оператора по переводу денежных средств, оператор по переводу денежных средств осуществляет следующие действия. Для операций по переводам денежных средств с использованием платежных карт в отношении указанного получателя средств устанавливает ограничения по параметрам операций по осуществлению переводов денежных средств (переводов электронных денежных средств), а также на получение в банкоматах денежных средств на максимальную сумму перевода (получение наличных денежных средств в банкоматах) денежных средств (переводов электронных денежных средств) за одну операцию и (или) за определенный период времени.
3.4. В рамках проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента оператор платежной системы осуществляет следующие мероприятия:
3.4.1. Вправе создать систему выявления и мониторинга переводов денежных средств без согласия клиента в платежной системе на основе распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента в целях мониторинга операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента;
3.4.2. В соответствии с пунктом 11 части 3 статьи 28 Федерального закона N 161-ФЗ определяет порядок проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента для участников платежной системы;
3.4.3. Устанавливает обязательное включение в состав реквизитов распоряжений о переводе денежных средств реквизиты плательщика и получателя средств, в том числе номер платежной карты, и (или) абонентский номер подвижной радиотелефонной связи и (или) номер электронного кошелька при получении сведений об идентификаторе назначения операции по переводу денежных средств в соответствии со сведениями, которые определены Приложением N 2 к настоящему Указанию;
3.4.4. Использует технические данные, описывающие атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и (или) их клиентов применительно к инфраструктуре платежной системы;
3.4.5. В рамках системы управления рисками и на основе распространяемой информации о случаях и попытках осуществления переводов денежных средств без согласия клиента обеспечивает мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента в соответствии с правилами платежных систем и договорами, заключаемыми с участниками платежной системы.
3.5. В рамках проведения мероприятий по противодействию осуществлению переводов денежных средств без согласия клиента (участника платежной системы) оператор услуг платежной инфраструктуры осуществляет следующие мероприятия:
3.5.1. В соответствии с порядком, установленным оператором платежной системы в подпункте 3.4.2 пункта 3.4 настоящего Указания, проводит мероприятия по противодействию осуществлению переводов денежных средств без согласия клиента (участника платежной системы);
3.5.2. Использует распространяемую информацию о случаях и попытках осуществления перевода денежных средств без согласия клиента (участника платежной системы) для выявления операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы);
3.5.3. Анализирует операции, соответствующие признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы) в рамках платежной системы, в том числе информацию, хранящуюся в операционном центре оператора услуг платежной инфраструктуры;
3.5.4. При выявлении операций, соответствующих признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы), приостанавливает исполнение распоряжения о совершении операции, соответствующей признакам осуществления переводов денежных средств без согласия клиента (участника платежной системы);
3.5.5. Направляет запрос клиенту (участнику платежной системы) в целях подтверждения возможности исполнения распоряжений по операциям, соответствующим признакам осуществления переводов денежных средств без согласия клиента, в порядке, установленном правилами платежной системы в соответствии с подпунктом 3.4.2 пункта 3.4 настоящего Указания;
3.5.6. При получении от клиента (участника платежной системы), в порядке, установленном правилами платежной системы, подтверждения возобновления исполнения распоряжения о совершении операции, соответствующей признакам операции без согласия клиента (участника платежной системы), незамедлительно возобновляет его исполнение.
Глава 4. Заключительные положения
4.1. Настоящее Указание подлежит официальному опубликованию и вступает в силу с __ __________ 201_ года.
4.2. Положения пункта 3.4.3 настоящего Указания применяются по истечении 270 дней с момента вступления в силу настоящего Указания.
Председатель Центрального банка
Российской Федерации
Э.С.НАБИУЛЛИНА
Приложение 1
к Указанию Банка России
от ______ г. N ___
"О форме и порядке направления
операторами по переводу денежных средств,
операторами платежных систем, операторами
услуг платежной инфраструктуры в Банк
России информации обо всех случаях
и (или) попытках осуществления переводов
денежных средств без согласия клиента
и получения ими от Банка России
информации, содержащейся в базе данных
о случаях и попытках осуществления
переводов денежных средств без согласия
клиента, а также о порядке реализации
операторами по переводу денежных средств,
операторами платежных систем, операторами
услуг платежной инфраструктуры мероприятий
по противодействию осуществлению переводов
денежных средств без согласия клиента"
ИНФОРМАЦИЯ
О ТЕХНИЧЕСКИХ ДАННЫХ, ОПИСЫВАЮЩИХ АТАКИ,
НАПРАВЛЕННЫЕ НА ОБЪЕКТЫ ИНФОРМАЦИОННОЙ ИНФРАСТРУКТУРЫ
УЧАСТНИКОВ ИНФОРМАЦИОННОГО ОБМЕНА И (ИЛИ) ИХ КЛИЕНТОВ <1>
--------------------------------
<1> Указанная информация предоставляется при наличии технической возможности.
1) атаки, связанные с изменением маршрутно-адресной информации, направленной на участников информационного обмена;
2) атаки, связанные с использованием вредоносного программного обеспечения применительно к объектам информационной инфраструктуры участников информационного обмена и их клиентов;
3) атаки, возникшие в результате побуждения клиентов к осуществлению операций по переводу денежных средств путем обмана или злоупотребления их доверием;
4) атаки типа "отказ в обслуживании" (DDOS-атаки) применительно к информационной инфраструктуре участников информационного обмена;
5) атаки, связанные с реализацией несанкционированного доступа к банкоматам и платежным терминалам операторов по переводу денежных средств;
6) компьютерные атаки, связанные с эксплуатацией уязвимостей информационной инфраструктуры участников информационного обмена и их клиентов;
7) атаки, связанные с подбором (взломом), компрометацией аутентификационных (учетных) данных;
8) атаки, связанные с реализацией спам рассылки, осуществляемой в отношении участников информационного обмена и их клиентов;
9) атаки, связанные с выявлением взаимодействия объектов информационной инфраструктуры участников информационного обмена с командными центрами "бот-нет" сетей;
10) атаки, связанные с изменением (подменой) идентификатора мобильного абонента (IMSI) номера SIM-карты, а также с заменой идентификатора мобильного оборудования (IMEI);
11) атаки, связанные с информацией, вводящей участников информационного обмена и их клиентов, а также иных лиц, взаимодействующих с ними, в заблуждение относительно принадлежности информации, распространяемой посредством сети "Интернет", вследствие сходства доменных имен, оформления или содержания;
12) атаки, связанные с распространением информации, касающейся предложений и (или) предоставления на территории Российской Федерации финансовых услуг, лицами, не имеющими права их оказывать в соответствии с законодательством Российской Федерации;
13) атаки, связанные с размещением в сети "Интернет" информации, позволяющей осуществить неправомерный доступ к информационным системам участников информационного обмена и их клиентов, используемым при предоставлении (получении) финансовых услуг, в том числе, путем неправомерного доступа к конфиденциальной информации клиентов;
14) атаки, связанные с изменением контента;
15) атаки, связанные со сканированием программных портов объектов информационной инфраструктуры участников информационного обмена лицами, не обладающими соответствующими полномочиями;
16) иные атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов.
Приложение 2
к Указанию Банка России
от ______ г. N ___
"О форме и порядке направления
операторами по переводу денежных средств,
операторами платежных систем, операторами
услуг платежной инфраструктуры в Банк
России информации обо всех случаях
и (или) попытках осуществления переводов
денежных средств без согласия клиента
и получения ими от Банка России
информации, содержащейся в базе данных
о случаях и попытках осуществления
переводов денежных средств без согласия
клиента, а также о порядке реализации
операторами по переводу денежных средств,
операторами платежных систем, операторами
услуг платежной инфраструктуры мероприятий
по противодействию осуществлению переводов
денежных средств без согласия клиента"
СВЕДЕНИЯ,
ВКЛЮЧАЕМЫЕ В СОСТАВ РЕКВИЗИТОВ РАСПОРЯЖЕНИЙ
О ПЕРЕВОДЕ ДЕНЕЖНЫХ СРЕДСТВ
Наименование типа операции |
Реквизиты распоряжений о переводе денежных средств, подлежащие обязательному включению |
Перевод денежных средств с банковского счета на банковский счет другого лица, операции по которым осуществляются с использованием платежных карт |
PAN <1> платежной карты плательщика;
PAN платежной карты получателя средств;
уникальный реквизит (совокупность реквизитов), генерируемый(ая) для операции по переводу денежных средств и позволяющий(ая) однозначно идентифицировать операцию оператором по переводу денежных средств, обслуживающим получателя средств, оператором по переводу денежных средств, обслуживающим плательщика. |
Предоставление денежных средств с использованием электронного средства платежа (за исключением предоплаченных платежных карт), использованного в дистанционных системах (средствах) для доступа к остаткам электронных денежных средств (электронный кошелек) |
PAN платежной карты плательщика;
Идентификатор электронного кошелька получателя средств;
Наименование электронного кошелька получателя средств. |
Изменение лицевого счета абонента системы подвижной радиотелефонной связи за счет средств платежной карты |
PAN платежной карты плательщика;
Номер подвижной радиотелефонной связи (с указанием телефонного кода, присвоенного по негеографическому признаку, по признаку оператора подвижной радиотелефонной связи <2>) абонента системы, на банковский счет которого зачисляются денежные средства. |
Изменение лицевого счета "нефиатных денег", карты лояльности, бонусы, игровые валюты и т.п. |
PAN платежной карты плательщика;
Идентификатор получателя средств;
Наименование оператора получателя средств. |
--------------------------------
<1> PAN (Primary Account Number) - номер платежной карты.
<2> DEF - телефонный код, присвоенный по негеографическому признаку, по признаку оператора подвижной радиотелефонной связи.
ПОЯСНИТЕЛЬНАЯ ЗАПИСКА
К ПРОЕКТУ УКАЗАНИЯ БАНКА РОССИИ "О ФОРМЕ И ПОРЯДКЕ
НАПРАВЛЕНИЯ ОПЕРАТОРАМИ ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ,
ОПЕРАТОРАМИ ПЛАТЕЖНЫХ СИСТЕМ, ОПЕРАТОРАМИ УСЛУГ ПЛАТЕЖНОЙ
ИНФРАСТРУКТУРЫ В БАНК РОССИИ ИНФОРМАЦИИ ОБО ВСЕХ СЛУЧАЯХ
И (ИЛИ) ПОПЫТКАХ ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ
БЕЗ СОГЛАСИЯ КЛИЕНТА И ПОЛУЧЕНИЯ ИМИ ОТ БАНКА РОССИИ
ИНФОРМАЦИИ, СОДЕРЖАЩЕЙСЯ В БАЗЕ ДАННЫХ О СЛУЧАЯХ И ПОПЫТКАХ
ОСУЩЕСТВЛЕНИЯ ПЕРЕВОДОВ ДЕНЕЖНЫХ СРЕДСТВ БЕЗ СОГЛАСИЯ
КЛИЕНТА, А ТАКЖЕ О ПОРЯДКЕ РЕАЛИЗАЦИИ ОПЕРАТОРАМИ
ПО ПЕРЕВОДУ ДЕНЕЖНЫХ СРЕДСТВ, ОПЕРАТОРАМИ ПЛАТЕЖНЫХ СИСТЕМ,
ОПЕРАТОРАМИ УСЛУГ ПЛАТЕЖНОЙ ИНФРАСТРУКТУРЫ МЕРОПРИЯТИЙ
ПО ПРОТИВОДЕЙСТВИЮ ОСУЩЕСТВЛЕНИЮ ПЕРЕВОДОВ ДЕНЕЖНЫХ
СРЕДСТВ БЕЗ СОГЛАСИЯ КЛИЕНТА"
Проект указания устанавливает порядок и форму направления операторами по переводу денежных средств, операторами платежных систем и операторами услуг платежной инфраструктуры (далее - участники информационного обмена) в Банк России информации обо всех случаях и (или) попытках осуществления переводов денежных средств без согласия клиента.
Также в документе определяется форма и порядок получения участниками информационного обмена от Банка России информации о случаях и попытках переводов денежных средств без согласия клиента, а также порядок противодействия осуществлению переводов денежных средств без согласия клиента.
В проекте указания содержится перечень событий, при которых участники информационного обмена направляют в Банк России первичные, промежуточные и окончательные уведомления, а также перечень сведений, содержащихся в указанных уведомлениях, в частности сведения: о плательщике перевода денежных средств без согласия клиента, о параметрах устройств, с использованием которых осуществлен доступ к автоматизированной системе, программному обеспечению с целью осуществления перевода денежных средств без согласия клиента, о получателе перевода денежных средств без согласия клиента, о технических данных, описывающих атаки, направленные на объекты информационной инфраструктуры участников информационного обмена и их клиентов, о результате окончания рассмотрения участниками информационного обмена случаев и попыток осуществления переводов денежных средств без согласия клиента и другие дополнительные и уточняющие сведения.
Планируемый срок вступления в силу проекта указания - 26.09.2018, к дате вступления в силу Федерального закона N 167-ФЗ.