использования систем удаленного мониторинга состояния ТУ ДБО, применения в соответствии с подпунктом 2.18.2 настоящего пункта технических средств, предназначенных для обнаружения и (или) предотвращения (затруднения) работы несанкционированно установленного на (в) ТУ ДБО оборудования;
результатов классификации ТУ ДБО в соответствии с подпунктом 2.18.1 настоящего пункта.
Контроль может быть непрерывным или периодическим.
2.18.8. Оператор по переводу денежных средств определяет требования к обеспечению привлеченными к деятельности по оказанию услуг по переводу денежных средств банковскими платежными агентами (субагентами) защиты информации при использовании ТУ ДБО. Банковский платежный агент (субагент) обеспечивает выполнение указанных требований.
То есть требования распространяются на банковских агентов и субагентов.
Помимо регулирования вопросов безопасности банкоматов, Банк России в настоящий момент собирает различную статистику, связанную с противоправными действиями, в том числе с использованием банкоматов. В первую очередь это Указание ЦБ РФ от 09.06.2012 № 2831-У «Об отчетности по обеспечению защиты информации при осуществлении переводов денежных средств операторов платежных систем, операторов услуг платежной инфраструктуры, операторов по переводу денежных средств». В частности, Приложение 2 «Сведения о выявлении инцидентов, связанных с нарушением требований к обеспечению защиты информации при осуществлении переводов денежных средств». Рассмотрим заполнение данной формы (Код формы по ОКУД 0403203) применительно к банкоматам.
8. В графе 2 раздела 3 Отчета указывается один из следующих кодов:
код «2.2» указывается, если инцидент привел к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают операции снятия наличных денежных средств в банкоматах с использованием поддельных, утраченных, временно выбывших из владения карт (несанкционированные операции).
код «2.3» указывается, если инцидент может привести к осуществлению переводов денежных средств по распоряжению лиц, не обладающих правом распоряжения этими денежными средствами;
— под действие данного кода попадают действия по установке скимминговых устройств и вредоносного кода.
10. В графе 4 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «4.1» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, платежной карты в банкомате;
код «4.6» указывается, если инцидент произошел при использовании клиентом отчитывающегося оператора, являющегося оператором по переводу денежных средств, банкомата или электронного терминала, и платежная карта использована не была;
коды «4.11.1» — «4.11.6» указываются, если инцидент произошел при эксплуатации отчитывающимся оператором, банковским платежным агентом (субагентом) или операционным центром, находящимся за пределами Российской Федерации, объекта информационной инфраструктуры; при этом код «4.11.1» указывается, если инцидент произошел при эксплуатации банкомата, платежного терминала или электронного терминала.
11. В графе 5 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «5.1» указывается, если инцидент произошел при эксплуатации отчитывающимся оператором, являющимся оператором по переводу денежных средств, автоматизированной системы, реализующей технологии дистанционного банковского обслуживания клиентов с использованием банкоматов, платежных терминалов, электронных терминалов.
12. В графе 6 раздела 3 Отчета указывается один или несколько (без пробелов, через запятую) следующих кодов:
код «6.1» указывается, если причиной инцидента является воздействие вредоносного кода;
код «6.3» указывается, если причиной инцидента является использование электронного средства платежа без согласия клиента вследствие противоправных действий, потери, нарушения конфиденциальности информации, необходимой для удостоверения клиентом оператора по переводу денежных средств права распоряжения денежными средствами (далее — аутентификационная информация); (снятие наличных).
код «6.7» указывается, если причиной инцидента является размещение на банкоматах и платежных терминалах специализированных средств, предназначенных для несанкционированного получения (съема) информации, необходимой для осуществления переводов денежных средств, в том числе аутентификационной информации;
код «6.8» указывается, если причиной инцидента является распространение информации (например, с использованием ресурсов сети Интернет, в том числе электронной почты, а также услуг, предоставляемых операторами связи), побуждающей клиента оператора по переводу денежных средств сообщать информацию, необходимую для осуществления переводов денежных средств от его имени, в том числе аутентификационную информацию; (фишинг, социальная инженерия).
Форма отчета ежемесячная.
Другим документом, предусматривающим отчетность по противоправным действиям в отношении банкоматов, является Указание Банка России от 12.10.2009 № 2332-У «О перечне, формах и порядке составления и представления форм отчетности кредитных организаций в Центральный Банк Российской Федерации». В частности, Приложение 4 «Сведения о несанкционированных операциях, совершенных с использованием платежных карт». Код формы по ОКУД 0409258. Отчетность включает:
Раздел I. Сведения о количестве платежных карт, с использованием которых были совершены несанкционированные операции.
Подраздел I. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел II. Операции, совершенные за пределами территории Российской Федерации с использованием платежных карт, эмитированных кредитной организацией.
Подраздел III. Операции, совершенные на территории Российской Федерации с использованием платежных карт, эмитированных за пределами территории Российской Федерации.
Количество и сумма несанкционированных операций
из них совершенных:
посредством банкоматов (платежных терминалов).