Порядок обеспечения информационной безопасности при передаче-приеме электронных сообщений (приложение к договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений)

Приложение 4 к Договору между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений от ____________ N ___

ПОРЯДОК

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ЭС

(Разрабатывается структурным подразделением Банка России)

1. Передача-прием ЭС между кредитной организацией и структурным подразделением Банка России осуществляются с применением средств защиты информации (далее - СЗИ): средств аутентификации и шифрования. Конкретные средства защиты информации и порядок их использования определяются структурным подразделением Банка России.

2. Установка и настройка СЗИ на АРМ передачи ЭС кредитной организации выполняются в присутствии Администратора АРМ передачи ЭС, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СЗИ.

3. Технологический процесс передачи-приема и обработки ЭС с использованием СЗИ должен быть регламентирован структурным подразделением Банка России и обеспечен инструктивными и методическими материалами.

4. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

5. Кредитная организация должна приобрести средство формирования ключей КА (по рекомендации структурного подразделения Банка России) и изготовить ключи КА самостоятельно. Открытые ключи КА кредитная организация должна направить на регистрацию в регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2 экземплярах, один из которых остается в регистрационном центре, другой - выдается кредитной организации.

6. Ключи шифрования, предназначенные для обеспечения защиты информации при передаче ЭС по каналам связи, предоставляются кредитной организации структурным подразделением Банка России. Получение ключей шифрования кредитной организацией оформляется актом. Форма акта определяется структурным подразделением Банка России.

7. Руководство каждой из Сторон утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием конкретной информации для каждого лица). Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.

8. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования должны использоваться надежные металлические хранилища. Хранение носителей ключевой информации с секретными ключами КА допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА.

9. По окончании рабочего дня, а также вне времени составления и передачи-приема ЭС носители ключевой информации с секретными ключами КА или ключами шифрования должны помещаться в хранилище.

10. Не допускается:

снимать несанкционированные копии с носителей ключевой информации;

знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;

выводить секретные ключи КА или ключи шифрования на дисплей (монитор) ПЭВМ или принтер;

устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ПЭВМ, на которой программные средства передачи-приема ОЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ПЭВМ;

записывать на носители ключевой информации постороннюю информацию.

11. При компрометации секретного ключа КА или ключа шифрования Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации регистрационный центр, который организует внеплановую смену ключей КА или ключей шифрования.

12. По факту компрометации ключа КА или ключа шифрования Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в Акте.

13. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника соответствующей Стороны, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена смена ключей, к которым указанный сотрудник имел доступ.