Порядок обеспечения информационной безопасности при обмене ЭД с использованием средств защиты информации (приложение к договору об обмене электронными документами при осуществлении расчетов через расчетную сеть Банка России)
ПОРЯДОК
ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
ПРИ ОБМЕНЕ ЭД ЧЕРЕЗ РАСЧЕТНУЮ СЕТЬ БАНКА РОССИИ
С ИСПОЛЬЗОВАНИЕМ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ
(Разрабатывается территориальным учреждением Банка
России на основании приведенных ниже положений)
1. Обмен ЭД между Банком и Клиентом осуществляется с применением средств защиты информации (СЗИ) - ЭЦП и шифрования (ТУ указывает конкретные средства защиты информации).
2. Установка и настройка СЗИ на АРМ обмена ЭД Клиента должна выполняться в присутствии Администратора АРМ обмена ЭД. Установленное программное обеспечение СЗИ должно охватываться контролем целостности путем вычисления значений хэш-функции соответствующих файлов.
3. Технологический процесс обработки и обмена ЭД с использованием СЗИ должен быть регламентирован и обеспечен инструктивными и методическими материалами.
4. Каждая из Сторон может иметь несколько ЭЦП, зарегистрированных в установленном порядке.
5. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart - карточек и т.п.) с секретными ключами ЭЦП и шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
6. Клиент должен приобрести программно-аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2-х экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.
7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.
8. Ключи шифрования, предназначенные для обеспечения конфиденциальности ЭД при их передаче по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.
9. Руководство каждой из Сторон утверждает список лиц, имеющих доступ к ключевой информации (с указанием конкретной информации для каждого лица).
10. Для хранения носителей секретных ключей ЭЦП и шифрования в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один у исполнителя, другой в службе безопасности). Хранение носителей секретных ключей ЭЦП допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом ответственным исполнителем.
11. Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.
12. По окончании рабочего дня, а также вне времени составления и обмена ЭД носители секретных ключей ЭЦП должны храниться в сейфах.
13. Не допускается:
- снимать несанкционированные копии с ключевых носителей;
- знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным;
- выводить секретные ключи на дисплей (монитор) ПЭВМ или принтер;
- устанавливать ключевой носитель в считывающее устройство (дисковод) ПЭВМ АРМ обмена ЭД в режимах, не предусмотренных функционированием системы обработки и обмена ЭД с Банком, а также в другие ПЭВМ;
- записывать на ключевой носитель постороннюю информацию.
14. При компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭД с использованием этого ключа ЭЦП, а также проинформировать о факте компрометации другую Сторону.
15. По факту компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в Акте.
16. При компрометации секретного ключа ЭЦП Сторонам необходимо вывести ключи этой ЭЦП из действия и организовать их внеплановую смену.
17. При компрометации ключа шифрования Сторона, допустившая компрометацию, приостанавливает обмен ЭД с использованием этого ключа и информирует о факте компрометации ключа шифрования другую Сторону. Стороны принимают согласованное решение о дальнейших действиях по продолжению либо прекращению обмена ЭД, до проведения смены скомпрометированного ключа.
18. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭЦП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.
19. Приостановление действия ЭЦП Клиента, предусмотренное пунктом 5.6 настоящего Договора, осуществляется путем исключения открытого ключа его ЭЦП из справочника открытых ключей участников обмена ЭД. Процедура возобновления участия в обмене ЭД Клиента должна предусматривать в каждом отдельном случае принятие решения об использовании ранее зарегистрированной ЭЦП Клиента или ее замене.