ПОРЯДОК
обеспечения информационной безопасности
при передаче-приеме ОЭД
1. Передача ОЭД кредитной организацией и прием ОЭД ТУ, а также передача ИЭД ТУ и прием ИЭД кредитной организацией осуществляются с применением средств криптографической защиты информации (далее - СКЗИ): ЭЦП и шифрования. Конкретное средство защиты информации определяется Банком России.
2. Установка и настройка СКЗИ на автоматизированное рабочее место (далее - АРМ) передачи-приема ОЭД кредитной организации выполняются в присутствии Администратора АРМ передачи-приема ОЭД, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.
3. Технологический процесс передачи-приема и обработки ОЭД (ИЭД) с использованием СКЗИ регламентируется и обеспечивается инструктивными и методическими материалами.
4. Каждая из Сторон (кредитная организация, ТУ) может иметь резервные ключи ЭЦП и шифрования.
5. Каждая Сторона определяет и утверждает порядок учета, хранения и использования носителей секретных ключей ЭЦП и шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
6. Кредитная организация самостоятельно изготавливает ключи ЭЦП и шифрования. Открытые ключи ЭЦП и шифрования кредитная организация должна направить на регистрацию в ТУ. Для регистрации изготавливается регистрационная карточка в двух экземплярах, один из которых остается в ТУ, другой возвращается кредитной организации. Порядок распределения серий и номеров ключей ЭЦП и шифрования определяется Банком России.
7. Одновременно с регистрацией открытых ключей ЭЦП и шифрования кредитная организация получает в ТУ регистрационную карточку открытого ключа ЭЦП и шифрования, справочник открытых ключей ЭЦП, содержащий открытые ключи ЭЦП кредитной организации и ТУ, а также справочник открытых ключей шифрования, содержащий открытые ключи шифрования кредитной организации, ТУ и уполномоченного органа.
8. Факт передачи ТУ справочников открытых ключей ЭЦП и шифрования кредитной организации регистрируется в соответствующем журнале ТУ.
9. Руководство каждой из Сторон утверждает список лиц - ответственных исполнителей, имеющих доступ к носителям секретных ключей ЭЦП и шифрования (с указанием конкретной информации для каждого лица).
10. Для хранения носителей секретных ключей ЭЦП и шифрования в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один - у исполнителя, другой - в службе безопасности или у руководителя кредитной организации, ТУ). Хранение носителей секретных ключей ЭЦП и шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом ответственным исполнителем.
11. Доступ неуполномоченных лиц к носителям секретных ключей ЭЦП и шифрования должен быть исключен.
12. По окончании рабочего дня, а также вне времени формирования и передачи-приема ОЭД и ИЭД носители секретных ключей ЭЦП и шифрования должны храниться в сейфах.
13. Не допускается:
- снимать несанкционированные копии с носителей секретных ключей ЭЦП и шифрования;
- знакомить с содержанием носителей секретных ключей ЭЦП и шифрования или передавать носители секретных ключей ЭЦП и шифрования лицам, к ним не допущенным;
- выводить секретные ключи ЭЦП и шифрования на дисплей (монитор) персональной электронной вычислительной машины (ПЭВМ) или принтер;
- устанавливать носитель секретных ключей ЭЦП и шифрования в считывающее устройство (дисковод) ПЭВМ АРМ передачи-приема ОЭД в непредусмотренных режимах функционирования системы обработки и передачи-приема ОЭД (ИЭД), а также в другие ПЭВМ;
- записывать на носитель секретных ключей ЭЦП и шифрования постороннюю информацию.
14. При компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ОЭД (ИЭД) с использованием этого ключа ЭЦП, а также проинформировать о факте компрометации другую Сторону.
15. При компрометации секретного ключа ЭЦП Сторонам необходимо вывести ключи этой ЭЦП из действия и организовать их внеплановую смену.
16. По факту компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, организовывает служебное расследование, результаты которого отражаются в акте служебного расследования.
17. При компрометации ключа шифрования Сторона, допустившая компрометацию, приостанавливает передачу-прием ОЭД (ИЭД) с использованием этого ключа и информирует о факте компрометации ключа шифрования другую Сторону. Стороны принимают согласованное решение о дальнейших действиях по продолжению либо прекращению передачи-приема ОЭД (ИЭД) до проведения смены скомпрометированного ключа.
18. В случаях увольнения, перевода в другое подразделение или на другую должность, изменения функциональных обязанностей сотрудника, имеющего доступ к носителям секретных ключей ЭЦП и шифрования, должна быть проведена смена ключей, к которым он имеет доступ.
19. Приостановление действия ключа ЭЦП или ключа шифрования кредитной организации осуществляется путем исключения ее открытого ключа ЭЦП или открытого ключа шифрования из соответствующего справочника открытых ключей участников передачи-приема ОЭД (ИЭД). Процедура возобновления участия в передаче-приеме ОЭД (ИЭД) кредитной организации должна предусматривать в каждом отдельном случае принятие решения об использовании ранее зарегистрированных ключей ЭЦП и шифрования кредитной организации.
20. Конфиденциальность и подтверждение целостности информации, передаваемой между Банком России и уполномоченным органом, обеспечивается СКЗИ, принятым к использованию в Банке России.
21. Порядок обеспечения информационной безопасности при обмене информацией между Банком России и уполномоченным органом устанавливается Банком России по согласованию с уполномоченным органом.