Территориальные учреждения Банка России
Первое операционное управление Банка России
МЦИ при Банке России
от 05.09.2007 N 140-Т
По вопросам территориальных учреждений
В связи с обращениями территориальных учреждений Банка России по
вопросам, касающимся терминов, используемых в договорах (дополнительных
соглашениях) об обмене электронными сообщениями (электронными документами)
при осуществлении расчетов через Банк России, заключаемых между Банком
России и его клиентами, а также проверки обеспечения информационной
безопасности при включении кредитных организаций в состав прямых
участников расчетов системы БЭСП, Банк России разъясняет следующее.
В договорах (дополнительных соглашениях) об обмене электронными
сообщениями (электронными документами) при осуществлении расчетов через
Банк России, заключаемых между Банком России и его клиентами, при
необходимости, допускается совместное использование следующих
соответствующих друг другу терминов при наличии в тексте договора
(дополнительного соглашения) условия, указывающего на их функциональное
соответствие: "электронное сообщение (ЭС)" и "электронный документ (ЭД)";
"электронное платежное сообщение (ЭПС)" и "электронный платежный документ
(ЭПД)"; "электронное служебно-информационное сообщение (ЭСИС)" и
"электронный служебно-информационный документ (ЭСИД)"; "код аутентификации
(КА)" и "электронная цифровая подпись (ЭЦП)".
Проверка обеспечения кредитными организациями требований к
информационной безопасности, включающей в себя требования к
организационным, технологическим, программно-техническим и
криптографическим мерам защиты, осуществляется при включении их в состав
прямых участников расчетов системы БЭСП в соответствии с пунктом 2.11.7
Положения Банка России от 25.04.2007 N 303-П <О системе валовых расчетов в
режиме реального времени Банка России> с учетом мер защиты, приведенных в
приложении к настоящему письму.
Приложение: на 6 л.
Т.Н. Чугунова
Приложение
к письму Банка России от 05.09.2007 N 140-Т
В ходе проверки организационных мер защиты устанавливается наличие:
Организационных требований к персоналу КО-ПУР, регламентируемых
распорядительными и иными документами по доступу:
в помещения, в которых размещаются технические средства ввода,
обработки, хранения и передачи электронных платёжных сообщений;
к техническим средствам ввода, обработки, хранения и передачи
электронных платёжных сообщений;
к ключам средств криптографической защиты информации (СКЗИ).
Приказа по КО-ПУР о назначении администратора информационной
безопасности (АИБ) на технологическом участке, где установлено
автоматизированное рабочее место прямого участника расчетов (АРМ ПУР), а
также регламента, определяющего порядок назначения и обязанности АИБ.
Регламента, определяющего технологические процессы подготовки, ввода,
обработки и передачи электронных платежных сообщений.
Регламента, регулирующего процессы обслуживания (сопровождения) АРМ
ПУР, и выполнение их в присутствии ответственных исполнителей и АИБ.
Сигнализации в помещении, в котором размещается АРМ ПУР, и которое по
окончании рабочего дня опечатывается и сдается под охрану, а также замков,
гарантирующих надежную защиту помещений в нерабочее время, на входной
двери данного помещения.
Регламента, определяющего порядок модификации программного
обеспечения (ПО) АРМ ПУР.
Документации на автоматизированное рабочее место, включая:
руководство пользователя АРМ ПУР;
технологическую инструкцию оператора ПУР;
технологическую инструкцию контролера ПУР;
описание работы со средствами защиты информации от
несанкционированного доступа (СЗИ от НСД);
порядок проведения антивирусного контроля и профилактики АРМ ПУР;
порядок эксплуатации криптографических средств и обращения с ключевой
информацией.
Систематического внутреннего контроля соблюдения мер по защите
информации.
В ходе проверки технологических мер защиты устанавливается:
Разделены ли в КО-ПУР контур обработки и контур контроля информации:
по используемым техническим средствам;
по используемому ПО;
по персоналу;
по ключам кода аутентификации (КА).
Обеспечено ли формирование ЭС в КО-ПУР с использованием АРМ ПУР,
состоящего из двух частей: рабочего места оператора системы БЭСП и
рабочего места контролера системы БЭСП, оснащенных СКЗИ. Реализовано ли на
АРМ оператора ПУР подписание ЭС КА обработки, а на АРМ контролера ПУР
подписание ЭС КА контроля и его шифрование.
Обеспечено ли в КО-ПУР осуществление двойного ввода каждого
расчетного документа с бумажного носителя.
Помещаются ли все входящие и исходящие электронные платежные
сообщения (вместе с атрибутами, обеспечивающими их аутентификацию) в
архивы и обеспечено ли их хранение в течение установленных сроков.
В ходе проверки программно-технических мер защиты устанавливается:
Осуществляется ли защита от НСД к АРМ ПУР с использованием СЗИ от
НСД, имеющих сертификаты, выданные сертифицирующими органами России и
подтверждающие соответствие классу защищенности не ниже четвертого для
средств вычислительной техники в среде используемой на рабочей станции.
Определяется ли состав ПО АРМ ПУР в соответствии с регламентом, а
также фиксируется ли он в паспорте ПО АРМ.
Входят ли в состав штатного ПО АРМ, в дополнение к функциональному ПО
АРМ:
ПО средства защиты от НСД;
ПО антивирусной защиты информации;
программные средства, необходимые для сопровождения данного АРМ,
восстановления его работоспособности и защиты.
Регламентирован ли порядок ведения паспортов АРМ ПУР.
Обеспечивается ли контроль целостности установленного ПО при каждом
запуске АРМ ПУР.
Исключены ли из ПО АРМ ПУР средства разработки и отладки.
Используются ли межсетевые экраны или активное сетевое оборудование
для отделения в ЛВС КО-ПУР расчётного сегмента от информационного сегмента
с учетом того, что способ сегментирования ЛВС (на физическом или
логическом уровне) определяется КО-ПУР.
Разработаны ли в КО-ПУР документы, определяющие функциональные и
структурные схемы ЛВС, определяющие меры защиты информации, в том числе,
от атак из внешних по отношению к КО-ПУР сетей, и механизмы их реализации,
механизмы контроля доступа, распределение ответственности между
персоналом.
Разработан ли в КО-ПУР документ, определяющий порядок проведения
антивирусного контроля и выполняются ли работы по организации антивирусной
защиты в соответствии с данным документом.
Осуществляется ли обслуживание и сопровождение системы антивирусной
защиты специалистами подразделения информатизации, а также осуществляется
ли ее контроль подразделением безопасности КО-ПУР и АИБ подразделений.
Используются ли средства парольной защиты для разграничения доступа
пользователей (или процессов, функционирующих в контексте конкретного
пользователя) к защищаемым объектам.
Регламентированы ли порядок применения парольной защиты и требования
к паролям (к длине - не менее 8 символов, к структуре пароля -
использование значений верхнего и нижнего регистра, спецсимволов и цифр),
к периодичности их смены (раз в месяц).
Позволяют ли настройки средств парольной защиты программно
ограничивать (не более пяти неудачных попыток) ввод пароля пользователем
для противодействия средствам автоматизированного подбора паролей и
осуществляется ли при необходимости временная блокировка защищаемого
объекта.
В ходе проверки криптографических мер защиты устанавливается:
Выполняется ли установка и настройка СКЗИ на АРМ ПУР в присутствии
АИБ. Обеспечивается ли контроль целостности установленного программного
обеспечения СКЗИ при каждом запуске АРМ ПУР.
Регламентированы ли процедуры выработки, учета ключевой информации и
порядок обращения с ключевой информацией.
Осуществляется ли изготовление ключей шифрования, КА в соответствии с
технической и иной документацией, в том числе, по эксплуатации
применяемого средства криптографической защиты информации.
Осуществляется ли немедленное уведомление ТУ для организации
процедуры удаления из системы ключей шифрования, КА, находившихся в
распоряжении сотрудника КО-ПУР, и их замена при прекращении полномочий
этого сотрудника по доступу к криптографическим ключам.
Осуществляются ли те же мероприятия по удалению и замене ключей
шифрования, КА в случае компрометации ключей (подозрении на
компрометацию).
Осуществляется ли маркировка носителей ключевой информации.
Указывается ли в маркере на каждом носителе ключевой информации:
учетный номер носителя по журналу учета;
условное наименование записанной ключевой информации.
Осуществляется ли уничтожение информации на ключевых носителях
комиссией с составлением акта.
Не допускается ли при работе с ключевой информацией:
снятие несанкционированных копий с ключевых носителей;
оставление рабочих ключевых носителей без присмотра в считывателе
ПЭВМ или на столе;
ознакомление с содержанием ключевых носителей или передачи ключевых
носителей лицам, к ним не допущенным;
выведение секретных ключей на дисплей (монитор) ПЭВМ или принтер;
установление ключевого носителя в считывающее устройство (дисковод)
ПЭВМ АРМ ПУР в режимах, не предусмотренных функционированием системы
обработки и обмена ЭС с ТУ, а также в другие ПЭВМ;
запись на ключевой носитель посторонней информации.
Регламентированы ли действия сторон (КО-ПУР и ТУ) при изготовлении,
регистрации и смене криптографических ключей.
АИСС БКБ, www.orioncom.ru, tel (495) 783-5510