Территориальные учреждения Банка России Первое операционное управление Банка России МЦИ при Банке России от 05.09.2007 N 140-Т По вопросам территориальных учреждений В связи с обращениями территориальных учреждений Банка России по вопросам, касающимся терминов, используемых в договорах (дополнительных соглашениях) об обмене электронными сообщениями (электронными документами) при осуществлении расчетов через Банк России, заключаемых между Банком России и его клиентами, а также проверки обеспечения информационной безопасности при включении кредитных организаций в состав прямых участников расчетов системы БЭСП, Банк России разъясняет следующее. В договорах (дополнительных соглашениях) об обмене электронными сообщениями (электронными документами) при осуществлении расчетов через Банк России, заключаемых между Банком России и его клиентами, при необходимости, допускается совместное использование следующих соответствующих друг другу терминов при наличии в тексте договора (дополнительного соглашения) условия, указывающего на их функциональное соответствие: "электронное сообщение (ЭС)" и "электронный документ (ЭД)"; "электронное платежное сообщение (ЭПС)" и "электронный платежный документ (ЭПД)"; "электронное служебно-информационное сообщение (ЭСИС)" и "электронный служебно-информационный документ (ЭСИД)"; "код аутентификации (КА)" и "электронная цифровая подпись (ЭЦП)". Проверка обеспечения кредитными организациями требований к информационной безопасности, включающей в себя требования к организационным, технологическим, программно-техническим и криптографическим мерам защиты, осуществляется при включении их в состав прямых участников расчетов системы БЭСП в соответствии с пунктом 2.11.7 Положения Банка России от 25.04.2007 N 303-П <О системе валовых расчетов в режиме реального времени Банка России> с учетом мер защиты, приведенных в приложении к настоящему письму. Приложение: на 6 л. Т.Н. Чугунова Приложение к письму Банка России от 05.09.2007 N 140-Т В ходе проверки организационных мер защиты устанавливается наличие: Организационных требований к персоналу КО-ПУР, регламентируемых распорядительными и иными документами по доступу: в помещения, в которых размещаются технические средства ввода, обработки, хранения и передачи электронных платёжных сообщений; к техническим средствам ввода, обработки, хранения и передачи электронных платёжных сообщений; к ключам средств криптографической защиты информации (СКЗИ). Приказа по КО-ПУР о назначении администратора информационной безопасности (АИБ) на технологическом участке, где установлено автоматизированное рабочее место прямого участника расчетов (АРМ ПУР), а также регламента, определяющего порядок назначения и обязанности АИБ. Регламента, определяющего технологические процессы подготовки, ввода, обработки и передачи электронных платежных сообщений. Регламента, регулирующего процессы обслуживания (сопровождения) АРМ ПУР, и выполнение их в присутствии ответственных исполнителей и АИБ. Сигнализации в помещении, в котором размещается АРМ ПУР, и которое по окончании рабочего дня опечатывается и сдается под охрану, а также замков, гарантирующих надежную защиту помещений в нерабочее время, на входной двери данного помещения. Регламента, определяющего порядок модификации программного обеспечения (ПО) АРМ ПУР. Документации на автоматизированное рабочее место, включая: руководство пользователя АРМ ПУР; технологическую инструкцию оператора ПУР; технологическую инструкцию контролера ПУР; описание работы со средствами защиты информации от несанкционированного доступа (СЗИ от НСД); порядок проведения антивирусного контроля и профилактики АРМ ПУР; порядок эксплуатации криптографических средств и обращения с ключевой информацией. Систематического внутреннего контроля соблюдения мер по защите информации. В ходе проверки технологических мер защиты устанавливается: Разделены ли в КО-ПУР контур обработки и контур контроля информации: по используемым техническим средствам; по используемому ПО; по персоналу; по ключам кода аутентификации (КА). Обеспечено ли формирование ЭС в КО-ПУР с использованием АРМ ПУР, состоящего из двух частей: рабочего места оператора системы БЭСП и рабочего места контролера системы БЭСП, оснащенных СКЗИ. Реализовано ли на АРМ оператора ПУР подписание ЭС КА обработки, а на АРМ контролера ПУР подписание ЭС КА контроля и его шифрование. Обеспечено ли в КО-ПУР осуществление двойного ввода каждого расчетного документа с бумажного носителя. Помещаются ли все входящие и исходящие электронные платежные сообщения (вместе с атрибутами, обеспечивающими их аутентификацию) в архивы и обеспечено ли их хранение в течение установленных сроков. В ходе проверки программно-технических мер защиты устанавливается: Осуществляется ли защита от НСД к АРМ ПУР с использованием СЗИ от НСД, имеющих сертификаты, выданные сертифицирующими органами России и подтверждающие соответствие классу защищенности не ниже четвертого для средств вычислительной техники в среде используемой на рабочей станции. Определяется ли состав ПО АРМ ПУР в соответствии с регламентом, а также фиксируется ли он в паспорте ПО АРМ. Входят ли в состав штатного ПО АРМ, в дополнение к функциональному ПО АРМ: ПО средства защиты от НСД; ПО антивирусной защиты информации; программные средства, необходимые для сопровождения данного АРМ, восстановления его работоспособности и защиты. Регламентирован ли порядок ведения паспортов АРМ ПУР. Обеспечивается ли контроль целостности установленного ПО при каждом запуске АРМ ПУР. Исключены ли из ПО АРМ ПУР средства разработки и отладки. Используются ли межсетевые экраны или активное сетевое оборудование для отделения в ЛВС КО-ПУР расчётного сегмента от информационного сегмента с учетом того, что способ сегментирования ЛВС (на физическом или логическом уровне) определяется КО-ПУР. Разработаны ли в КО-ПУР документы, определяющие функциональные и структурные схемы ЛВС, определяющие меры защиты информации, в том числе, от атак из внешних по отношению к КО-ПУР сетей, и механизмы их реализации, механизмы контроля доступа, распределение ответственности между персоналом. Разработан ли в КО-ПУР документ, определяющий порядок проведения антивирусного контроля и выполняются ли работы по организации антивирусной защиты в соответствии с данным документом. Осуществляется ли обслуживание и сопровождение системы антивирусной защиты специалистами подразделения информатизации, а также осуществляется ли ее контроль подразделением безопасности КО-ПУР и АИБ подразделений. Используются ли средства парольной защиты для разграничения доступа пользователей (или процессов, функционирующих в контексте конкретного пользователя) к защищаемым объектам. Регламентированы ли порядок применения парольной защиты и требования к паролям (к длине - не менее 8 символов, к структуре пароля - использование значений верхнего и нижнего регистра, спецсимволов и цифр), к периодичности их смены (раз в месяц). Позволяют ли настройки средств парольной защиты программно ограничивать (не более пяти неудачных попыток) ввод пароля пользователем для противодействия средствам автоматизированного подбора паролей и осуществляется ли при необходимости временная блокировка защищаемого объекта. В ходе проверки криптографических мер защиты устанавливается: Выполняется ли установка и настройка СКЗИ на АРМ ПУР в присутствии АИБ. Обеспечивается ли контроль целостности установленного программного обеспечения СКЗИ при каждом запуске АРМ ПУР. Регламентированы ли процедуры выработки, учета ключевой информации и порядок обращения с ключевой информацией. Осуществляется ли изготовление ключей шифрования, КА в соответствии с технической и иной документацией, в том числе, по эксплуатации применяемого средства криптографической защиты информации. Осуществляется ли немедленное уведомление ТУ для организации процедуры удаления из системы ключей шифрования, КА, находившихся в распоряжении сотрудника КО-ПУР, и их замена при прекращении полномочий этого сотрудника по доступу к криптографическим ключам. Осуществляются ли те же мероприятия по удалению и замене ключей шифрования, КА в случае компрометации ключей (подозрении на компрометацию). Осуществляется ли маркировка носителей ключевой информации. Указывается ли в маркере на каждом носителе ключевой информации: учетный номер носителя по журналу учета; условное наименование записанной ключевой информации. Осуществляется ли уничтожение информации на ключевых носителях комиссией с составлением акта. Не допускается ли при работе с ключевой информацией: снятие несанкционированных копий с ключевых носителей; оставление рабочих ключевых носителей без присмотра в считывателе ПЭВМ или на столе; ознакомление с содержанием ключевых носителей или передачи ключевых носителей лицам, к ним не допущенным; выведение секретных ключей на дисплей (монитор) ПЭВМ или принтер; установление ключевого носителя в считывающее устройство (дисковод) ПЭВМ АРМ ПУР в режимах, не предусмотренных функционированием системы обработки и обмена ЭС с ТУ, а также в другие ПЭВМ; запись на ключевой носитель посторонней информации. Регламентированы ли действия сторон (КО-ПУР и ТУ) при изготовлении, регистрации и смене криптографических ключей.
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510