ЦЕНТРАЛЬНЫЙ БАНК РОССИИ
ПРИКАЗ
от 3 апреля 1997 г. N 02-144
О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ
ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО
БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ
В целях совершенствования безопасности систем обработки,
передачи и хранения электронных платежных документов в системе
Центрального банка Российской Федерации приказываю:
1. Ввести в действие Временные требования по обеспечению
безопасности технологий обработки электронных платежных документов
в системе Центрального банка Российской Федерации (далее -
Требования) с 31.03.97.
2. Административному департаменту Банка России довести данные
Требования до соответствующих подразделений центрального аппарата,
территориальных учреждений, а также других подразделений и
организаций Банка России, участвующих в совершении электронных
платежей.
3. Административному департаменту Банка России предусмотреть
соответствующие ассигнования для выплаты надбавок администраторам
информационной безопасности в соответствии с данными Требованиями.
4. Руководителям участвующих в совершении электронных платежей
территориальных учреждений и других подразделений и организаций
Банка России в срок до 01.06.97 разработать и утвердить Положения
об администраторе информационной безопасности в соответствии с
Приложениями 1, 2 к данным Требованиям.
5. Поручить руководителям участвующих в совершении электронных
платежей территориальных учреждений и других подразделений и
организаций Банка России в срок до 01.07.97 проанализировать
действующие технологии обработки электронных платежных документов
на соответствие данным Требованиям и представить в Главное
управление безопасности и защиты информации и Департамент
информатизации Банка России предложения по приведению используемых
технологий в соответствие с настоящими Требованиями.
6. Департаменту информатизации совместно с Главным управлением
безопасности и защиты информации до 01.07.97 подготовить
предложения по разработке системы ведения архивов электронных
платежных документов.
Председатель Центрального банка
Российской Федерации
С.К.ДУБИНИН
ЦЕНТРАЛЬНЫЙ БАНК РОССИИ
3 апреля 1997 г. N 60
ВРЕМЕННЫЕ ТРЕБОВАНИЯ
ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ
ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ
ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ
1. Общие положения
1.1. Данные Требования относятся к технологиям, системам и
средствам обработки, передачи и хранения электронных платежных
(несекретных) документов.
1.2. Требования разработаны в соответствии с положениями
федеральных законов, нормативных и иных актов Банка России,
Государственной технической комиссии при Президенте Российской
Федерации (Гостехкомиссии России), Федерального агентства
правительственной связи и информации при Президенте Российской
Федерации (ФАПСИ).
1.3. Требования предназначены для территориальных учреждений,
расчетно - кассовых центров и других подразделений и организаций
Банка России (далее - участники электронных платежей), принимающих
участие в совершении электронных платежей, проектировании,
создании, эксплуатации и обеспечении безопасности систем
обработки, передачи и хранения электронных платежных документов.
1.4. Разработка технических заданий, проектирование, создание,
тестирование и сдача в эксплуатацию систем обработки, передачи и
хранения электронных платежных документов должны осуществляться по
согласованию с Главным управлением безопасности и защиты
информации Банка России и его подразделениями в территориальных
учреждениях Банка России.
1.5. Безопасность технологии обработки электронных платежных
документов обеспечивается созданием системы, включающей в себя
комплекс технологических, организационных, технических и
программных мер и средств защиты на этапах подготовки, обработки,
передачи и хранения электронных платежных документов.
1.6. Привлекаемые для разработки и установки средств и систем
защиты электронных платежных документов на договорной основе
специализированные организации должны иметь государственные
лицензии от Гостехкомиссии России, ФАПСИ и других государственных
органов в соответствии с российским законодательством.
Используемые при этом средства защиты информации от
несанкционированного доступа (НСД) должны иметь сертификат
Гостехкомиссии России.
Криптографическая защиты электронных платежных документов
обеспечивается на основе использования средств криптографической
защиты информации (СКЗИ), имеющих сертификат или временное
разрешение ФАПСИ.
1.7. Внутренний порядок применения средств защиты от НСД и
обеспечения криптографической защиты в системах электронных
платежей Банка России определяется руководством Банка России.
1.8. Выполнение правил пользования и инструкций по
эксплуатации криптографических средств и систем (а также их
ключевых систем), рекомендованных Банком России по согласованию с
ФАПСИ для защиты электронных платежных документов, является
обязательным для обеспечения защиты электронных платежных
документов.
1.9. Обязанности по администрированию программно - технических
средств защиты электронных платежных документов для каждого
технологического участка прохождения этих документов возлагаются
приказом по участнику электронных платежей на сотрудников
(сотрудника), задействованных на данном технологическом участке
(администраторов информационной безопасности), с внесением
соответствующих изменений в их должностные обязанности.
Администратор информационной безопасности действует на
основании утвержденного руководителем участника электронных
платежей "Положения об администраторе информационной
безопасности", разработанного на основе соответствующего
Примерного положения (Приложения 1, 2) и согласованного с
руководством соответствующих подразделений информатизации, а также
безопасности и защиты информации системы Банка России.
Администратору информационной безопасности устанавливается
денежная надбавка в размере до 20 процентов его должностного
оклада.
1.10. В случае прекращения по тем или иным причинам полномочий
сотрудника Банка России, имевшего доступ к системе электронных
платежей, необходимо немедленное удаление из системы действующих
значений паролей, а также ключей шифрования, ключей электронных
цифровых подписей (ЭЦП) и кодов аутентификации, бывших в
распоряжении данного сотрудника в соответствии с его прежними
должностными обязанностями.
1.11. Объекты электронной вычислительной техники (ЭВТ), на
которых осуществляется обработка электронных платежных документов,
являются объектами ЭВТ не выше 4 категории. Требования по защите
от утечки информации по каналам побочных электромагнитных
излучений и наводок (ПЭМИН) к ним не предъявляются.
1.12. Требования данного документа распространяются на все
виды программного (прикладного и системного), аппаратного и
информационного обеспечения автоматизированных систем обработки
электронных платежных документов.
2. Обеспечение информационной безопасности
при внедрении и эксплуатации систем обработки
электронных платежей
2.1. Технологические меры защиты:
- процесс обмена электронными платежными документами (в том
числе на магнитных носителях) между участниками электронных
платежей и кредитными организациями (клиентами) должен быть
регламентирован и осуществляется в соответствии с заключенными
договорами;
- основанием для ввода электронного платежного документа (не
подтверждаемого первичным документом на бумажном носителе) в
систему электронных платежей является наличие под документом
действующей и зарегистрированной (в соответствии с условиями
договора) ЭЦП кредитной организации (клиента) - отправителя
документа и положительный результат ее проверки;
- все поступающие от кредитных организаций электронные
платежные документы с ЭЦП помещаются в архив и хранятся не менее
пяти лет;
- поступающие от кредитных организаций (клиентов) магнитные
носители с электронными платежными документами до ввода в систему
электронных платежей подвергаются антивирусному контролю на
выделенной для этого автономной персональной электронно -
вычислительной машине (ПЭВМ);
- ввод платежных документов в систему электронных платежей
должен сопровождаться формированием эталонной базы, содержащей
входящие электронные платежные документы с ЭЦП, для осуществления
контроля выходных документов;
- при прохождении электронных платежных документов по системе
Банка России должны быть реализованы следующие технологические
меры защиты:
1) каждый файл выходных электронных платежных документов
должен быть снабжен кодом аутентификации (КА) подразделения
обработки электронных платежных документов (КА обработки). Код
аутентификации представляет собой защитный код, проставляемый при
создании файла электронных платежных документов в целях
осуществления контроля его целостности и авторизации на
последующих технологических участках обработки. Порядок выработки
и применения КА определяется Главным управлением безопасности и
защиты информации Банка России по согласованию с Департаментом
информатизации Банка России;
2) должен быть реализован полный пореквизитный контроль на
совпадение выходных электронных платежных документов с
документами, содержащимися в эталонной базе входящих электронных
платежных документов, и их сверка с реквизитами соответствующих
документов, отраженных по балансу. Указанный контроль выходных
электронных платежных документов должен быть организован как
параллельный независимый процесс по отношению к процессу обработки
электронных платежных документов и осуществляться на
автоматизированном рабочем месте контроля;
3) при положительном результате пореквизитного контроля всех
документов из файла выходных электронных платежных документов,
предназначенных для передачи другим участникам электронных
платежей, контролер должен снабдить (не снимая КА обработки)
данный файл своим кодом аутентификации (КА контроля), после чего
полученный файл с двумя КА должен быть зашифрован и передан в
канал связи;
4) при получении одним участником электронных платежей файла
электронных платежных документов, отправленных другим участником
электронных платежей, должно быть проверено наличие и правильность
двух КА - обработки и контроля;
5) ввод (набор) каждого платежного документа с бумажного
носителя в систему обработки электронных платежей Банка России
должен осуществляться независимо двумя различными сотрудниками с
последующей автоматизированной сверкой результатов ввода на
совпадение. При совпадении полученный электронный платежный
документ передается ответственному исполнителю для дальнейшей
обработки. При несовпадении документ должен быть направлен на
повторный ввод в присутствии администратора информационной
безопасности.
2.2. Организационные меры защиты:
- технологические процессы подготовки, ввода и обработки
электронных платежных документов, а также установки, настройки,
эксплуатации и восстановления средств обработки должны быть
регламентированы и обеспечены инструктивными и методическими
материалами, включая акты готовности региона к совершению
межрегиональных и внутрирегиональных электронных платежей;
- подготовка, ввод и обработка электронных платежных
документов должны проводиться типовыми автоматизированными
вычислительными системами или на специализированных типовых
автоматизированных рабочих местах (АРМ), программное обеспечение
которых должно выполнять только функции, определенные данным
технологическим процессом. Состав и назначение программного
обеспечения (ПО) АРМ должны быть регламентированы и зафиксированы
в Типовом паспорте программного обеспечения автоматизированного
рабочего места (Приложение 3);
- порядок внесения санкционированных изменений в действующее
ПО обработки электронных платежей, включая контроль за действиями
программистов в процессе модификации ПО, должен быть
регламентирован, эталонные копии ПО должны быть учтены, доступ к
ним должен быть регламентирован;
- централизованно распространяемое в системе Банка России
программное и информационное обеспечение систем электронных
платежей должно передаваться по каналам связи (записываться на
магнитные носители для рассылки) с использованием механизмов
контроля целостности и достоверности, согласованных с Главным
управлением безопасности и защиты информации Банка России;
- порядок действий администраторов информационной безопасности
и персонала, занятых в системах обработки и передачи электронных
платежных документов, должен быть регламентирован;
- должен быть разработан комплекс мер, обеспечивающих
управление парольной защитой автоматизированных рабочих мест ввода
и обработки электронных платежных документов. Порядок формирования
и смены паролей должен быть регламентирован специальным
документом, разработанным участником электронных платежей в
соответствии с Требованиями к организации парольной защиты
(Приложение 4);
- технические средства и персонал, задействованные в
подготовке, вводе и обработке электронных платежных документов,
должны быть административно разделены и размещаться в разных
помещениях с техническими средствами и персоналом,
задействованными в разработке и отладке программного обеспечения
данного технологического процесса;
- контур защиты (комплекс мер и средств) передачи и контур
защиты внутрибанковской обработки электронных платежных документов
должны быть независимы друг от друга.
2.3. Программные и программно - аппаратные средства защиты
электронных платежных документов должны обеспечивать:
- функционирование системы парольной защиты электронных
вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС);
- установление и изменение полномочий, а также контроль
доступа пользователей ЭВМ и/или ЛВС к электронным платежным
документам и информации о них в части, относящейся к выполнению
ими своих служебных обязанностей в случае, если имеет место
наличие нескольких пользователей с разными полномочиями;
- контроль целостности программного и информационного
обеспечения автоматизированных систем обработки электронных
платежных документов;
- формирование уникальных идентификаторов электронных
платежных документов и идентификаторов лиц, непосредственно
участвовавших в их вводе, обработке и контроле (виды
идентификаторов определяются особенностями конкретной технологии);
- регистрацию действий пользователя в специальном электронном
журнале, доступном только администратору информационной
безопасности. Копия журнала должна храниться не менее пяти лет.
Перечень необходимых параметров регистрации должен включать в
себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО обработки электронных платежных
документов;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
3. Обеспечение информационной безопасности
при передаче электронных платежных документов
3.1. Организационные меры защиты:
- технологический процесс передачи электронных платежных
документов по телекоммуникационным каналам и линиям связи должен
быть регламентирован и обеспечен инструктивными и методическими
материалами;
- обмен электронными платежными документами должен проводиться
с использованием специализированных автоматизированных рабочих
мест, программное обеспечение которых должно выполнять только
функции, регламентированные технологическим процессом;
- в подразделениях, обеспечивающих обмен электронными
платежными документами, должны быть назначены исполнители,
ответственные за выполнение требований по информационной
безопасности - администраторы информационной безопасности;
- контур защиты передачи и контур защиты внутрибанковской
обработки электронных платежных документов должны быть независимы
друг от друга.
3.2. Программные и программно - аппаратные средства защиты
автоматизированного рабочего места по передаче электронных
платежных документов должны обеспечивать:
- парольный вход;
- проверку целостности программного и информационного
обеспечения;
- идентификацию абонентов телекоммуникационной сети при входе
в автоматизированную систему;
- криптографическую защиту передаваемой информации;
- регистрацию действий оператора автоматизированного рабочего
места и абонентов телекоммуникационной сети в специальном
электронном журнале, доступном только администратору
информационной безопасности данного технологического участка.
Копия журнала должна храниться в течение трех лет.
Перечень необходимых параметров регистрации должен включать в
себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО передачи электронных платежных
документов;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
4. Обеспечение защиты помещений и технических средств
4.1. Порядок доступа в помещения, в которых размещаются
технические средства обработки и передачи электронных платежных
документов, должен быть регламентирован.
4.2. Для обеспечения защиты указанных помещений должны быть
реализованы следующие меры:
- на входные двери должны быть установлены замки,
гарантирующие надежную защиту помещений в нерабочее время, а для
контроля за входом в помещения должны быть установлены
автоматические замки (электронные, кодовые и т.п.) или другие
средства современных систем контроля и регистрации доступа;
- помещения должны быть оборудованы сигнализацией и по
окончании рабочего дня опечатываться и сдаваться под охрану.
5. Обеспечение информационной безопасности
при использовании криптографических средств защиты
5.1. Криптографические средства защиты:
- должны допускать встраивание в любую технологическую схему
обработки электронных платежных документов, обеспечивать
взаимодействие с прикладным программным обеспечением на уровне
обработки запросов на криптографические преобразования и выдачи
результатов;
- не должны требовать дополнительной защиты от утечки по
побочным каналам электромагнитного излучения;
- должны быть реализованы на основе алгоритмов,
соответствующих стандартам Российской Федерации и Банка России;
- должны поставляться разработчиками с полным комплектом
эксплуатационной документации, включая описание ключевой системы,
правила работы с ней, а также обоснование необходимого
организационно - штатного обеспечения.
5.1.1. Ключи ЭЦП должны изготавливаться каждым участником
системы электронных платежей самостоятельно. В случае изготовления
ключей ЭЦП для кредитных организаций в учреждении Банка России
согласие кредитной организации считать данную ЭЦП своей личной
должно быть зафиксировано в договоре. Процедура изготовления
ключей ЭЦП должна быть регламентирована.
5.1.2. Для управления ключами СКЗИ систем электронных платежей
Банка России в Главном управлении безопасности и защиты информации
Банка России, ГЦИ Банка России и МЦИ при Банке России, а также в
каждом Управлении (отделе) безопасности и защиты информации
территориального учреждения Банка России должны быть созданы
Центры управления ключевыми системами (ЦУКС).
5.2. Средства ЭВТ, вырабатывающие криптографические ключи:
- должны быть автономными, и их необходимо размещать в
отдельном, выделенном только для этой цели помещении,
оборудованном в соответствии с "Методическими рекомендациями по
обеспечению безопасности конфиденциальной банковской информации
(несекретной) при проектировании объектов и помещений для
размещения СКЗБИ" (утверждены Начальником ГУ безопасности и защиты
информации Банка России и Начальником ГУБС ФАПСИ 10 и 8 июня
1994 г. соответственно);
- должны быть подвергнуты спецпроверке на закладные
устройства.
5.2.1. Создание ключевой информации должно проводиться на
специализированных АРМ, программное обеспечение которых должно
выполнять только функции, регламентированные технологическим
процессом формирования криптографических ключей.
5.2.2. Дискеты (и другие носители) с ключевой информацией
должны быть маркированы и учтены в Управлении (отделе)
безопасности и защиты информации территориального учреждения Банка
России (ЦУКС) как в электронном, так и бумажном журналах. В
маркере на каждой дискете (другом носителе) указываются:
наименование записанных ключей, уникальный номер носителя, срок
действия ключей. В учетном журнале (и в электронном, и в бумажном
вариантах) указываются: фамилия, имя, отчество сотрудника,
сформировавшего ключевую дискету (другой носитель), дата
формирования, вид содержащейся на дискете ключевой информации,
срок действия ключей, перечень лиц, допущенных к работе с данным
носителем, дата и причина вывода носителя из действия.
5.2.3. Порядок обращения с дискетами или другими носителями
ключевой информации определяется в соответствии с инструкциями и
правилами по эксплуатации применяемой системы криптографической
защиты.
5.3. ЭВМ, вырабатывающая ключевую информацию, должна быть
оснащена программно - аппаратными средствами защиты,
обеспечивающими следующие функции:
- парольный вход в электронную вычислительную машину;
- проверку целостности аппаратного, программного и
информационного обеспечения ЭВМ;
- автоматическую регистрацию действий сотрудника,
вырабатывающего ключевую информацию на ЭВМ, в электронном журнале.
Копия журнала должна храниться не менее 5 лет.
Перечень необходимых параметров регистрации должен включать в
себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО обработки ключевой информации;
- факты попыток НСД;
- информацию о сбоях и других нештатных ситуациях.
5.4. Требования, изложенные в данном разделе, могут быть
дополнены требованиями инструкции по эксплуатации конкретной
применяемой системы криптографической защиты.
6. Контроль за обеспечением безопасности технологии
обработки электронных платежных документов
6.1. Контроль за обеспечением безопасности технологии
обработки электронных платежных документов является неотъемлемой
составной частью общего комплекса мер безопасности в системе Банка
России.
6.2. Контроль за обеспечением безопасности технологии
обработки электронных платежных документов должен осуществляться в
рамках всего комплекса технологических, организационных,
технических и программных мер и средств защиты на этапах
подготовки, обработки передачи и хранения электронных платежных
документов.
6.3. Контроль за обеспечением безопасности технологии
обработки электронных платежных документов в системе Банка России
осуществляется Главным управлением безопасности и защиты
информации и его территориальными подразделениями безопасности и
защиты информации на местах.
Председатель
Центрального банка
Российской Федерации
С.К.ДУБИНИН
Приложение 1
ПРИМЕРНОЕ ПОЛОЖЕНИЕ
ОБ АДМИНИСТРАТОРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
1. Общие положения
1.1. Настоящее Положение определяет задачи, функции,
обязанности, права и ответственность администратора информационной
безопасности участника электронных платежей (кроме расчетно -
кассовых центров).
1.2. Примерное Положение предназначено для разработки
Положений об администраторе информационной безопасности участников
электронных платежей с учетом конкретных данных об обрабатываемой,
передаваемой и хранимой в автоматизированной системе информации, о
полномочиях пользователей, технологии обработки информации и
применяемых средствах и системах защиты информации.
1.3. Администратор информационной безопасности назначается
приказом руководителя участника электронных платежей по
согласованному представлению руководителя подразделения,
эксплуатирующего автоматизированную систему, и руководителя
подразделения безопасности и защиты информации.
1.4. Администратор информационной безопасности в пределах
своих функциональных обязанностей обеспечивает безопасность
информации, обрабатываемой, передаваемой и хранимой при помощи
средств вычислительной техники в автоматизированных системах Банка
России.
1.5. Администратор информационной безопасности непосредственно
подчиняется начальнику подразделения, в штате которого он состоит.
1.6. Администратор информационной безопасности руководствуется
положениями федеральных законов, нормативных и иных актов Банка
России, Государственной технической комиссии при Президенте
Российской Федерации (Гостехкомиссии России), Федерального
агентства правительственной связи и информации при Президенте
Российской Федерации (ФАПСИ).
1.7. Методическое руководство деятельностью администратора
информационной безопасности осуществляется Главным управлением
безопасности и защиты информации Банка России или Управлением
(отделом) безопасности и защиты информации территориального
учреждения Банка России.
2. Основные задачи и функции администратора
информационной безопасности
2.1. Основными задачами администратора информационной
безопасности являются:
- организация эксплуатации технических и программных средств
защиты информации;
- текущий контроль работы средств и систем защиты информации;
- контроль за работой пользователей автоматизированных систем,
выявление и регистрация попыток НСД к автоматизированным системам
и защищаемым информационным ресурсам.
2.2. Основными функциями администратора информационной
безопасности являются:
- обеспечение функционирования средств и систем защиты
информации в пределах возложенных на него обязанностей;
- обучение персонала и пользователей вычислительной техники
правилам работы со средствами защиты информации;
- поддержание функционирования ключевых систем, применяемых
средств и систем криптографической защиты информации;
- формирование и распределение реквизитов полномочий
пользователей, определяемых эксплуатационной документацией на
средства и системы защиты информации;
- организация антивирусного контроля магнитных носителей
информации, поступающих из других подразделений и сторонних
организаций;
- участие по согласованию с Главным управлением безопасности и
защиты информации Банка России или Управлением (отделом)
безопасности и защиты информации территориального учреждения Банка
России в проведении служебных расследований фактов нарушения или
угрозы нарушения безопасности защищаемой информации;
- организация учета и хранения магнитных носителей информации
с грифом "Для служебного пользования", используемых в технологии
обработки защищаемой информации;
- текущий контроль технологического процесса обработки
защищаемой информации.
3. Обязанности администратора информационной безопасности
3.1. Обеспечивать функционирование и поддерживать
работоспособность средств и систем защиты информации в пределах
возложенных на него обязанностей.
3.2. Докладывать непосредственному руководителю о выявленных
нарушениях и несанкционированных действиях пользователей и
персонала, принимать необходимые меры по устранению нарушений.
3.3. Совместно со специалистами подразделения технической
защиты информации принимать меры по восстановлению
работоспособности средств и систем защиты информации.
3.4. Оказывать содействие сотрудникам подразделения
безопасности и защиты информации в проведении работ по анализу
защищенности автоматизированных систем.
3.5. Проводить инструктаж обслуживающего персонала и
пользователей средств вычислительной техники по правилам работы с
используемыми средствами и системами защиты информации.
4. Права администратора информационной безопасности
4.1. Обращаться к руководителю участника электронных платежей
с требованием о прекращении обработки информации в случаях
нарушения установленной технологии обработки защищаемой информации
или нарушения функционирования средств и систем защиты информации.
4.2. Обращаться в ГУ безопасности и защиты информации Банка
России или Управление (отдел) безопасности и защиты информации
территориального учреждения Банка России с просьбой об оказании
технической и методической помощи в работе по обеспечению
технической защиты информации.
5. Ответственность администратора информационной
безопасности
5.1. На администратора информационной безопасности возлагается
персональная ответственность за программно - технические и
криптографические средства защиты информации, средства
вычислительной техники, информационно - вычислительные комплексы,
сети и автоматизированные системы обработки банковской информации,
закрепленные за ним приказом руководителя участника электронных
платежей и за качество проводимых им работ по обеспечению защиты
информации в соответствии с функциональными обязанностями,
определенными Положением об администраторе информационной
безопасности конкретного участника электронных платежей.
5.3. Администратор информационной безопасности несет
ответственность по действующему законодательству за разглашение
сведений, составляющих государственную тайну, и сведений
ограниченного распространения, ставших известными ему в
соответствии с родом работы.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
Приложение 2
ПРИМЕРНОЕ ПОЛОЖЕНИЕ
ОБ АДМИНИСТРАТОРЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РАСЧЕТНО - КАССОВОГО ЦЕНТРА
1. Общие положения
1.1. Настоящее Положение определяет задачи, функции,
обязанности, права и ответственность администратора информационной
безопасности расчетно - кассового центра (РКЦ) территориального
учреждения Банка России.
1.2. Примерное Положение предназначено для разработки
Положений об администраторе информационной безопасности в РКЦ
системы Банка России с учетом конкретных данных об обрабатываемой,
передаваемой и хранимой в автоматизированной системе информации, о
полномочиях пользователей, технологии обработки информации и
применяемых средствах и системах защиты информации.
Положение утверждается руководителем соответствующего
территориального учреждения Банка России.
1.4. В РКЦ территориального учреждения Банка России,
занимающихся обработкой электронных платежных документов,
администраторы информационной безопасности РКЦ назначаются
приказом начальника РКЦ.
1.5. При назначении администратора информационной безопасности
в РКЦ территориального учреждения Банка России его кандидатура
должна быть согласована с Управлением (отделом) безопасности и
защиты информации территориального учреждения Банка России.
1.6. Администратор информационной безопасности РКЦ подчиняется
непосредственно начальнику подразделения, в штате которого он
состоит.
1.7. Администратор информационной безопасности РКЦ
руководствуется положениями федеральных законов, нормативных и
иных актов Банка России, Государственной технической комиссии при
Президенте Российской Федерации (Гостехкомиссии России),
Федерального агентства правительственной связи и информации при
Президенте Российской Федерации (ФАПСИ).
1.8. Администратор информационной безопасности РКЦ
обеспечивает решение вопросов информационной безопасности
дополнительно к своим непосредственным обязанностям, если это не
входит в его прямые служебные обязанности.
1.9. Методическое руководство работой администратора
информационной безопасности РКЦ в территориальном учреждении Банка
России осуществляется Управлением (отделом) безопасности и защиты
информации территориального учреждения Банка России.
2. Основные задачи и функции администратора
информационной безопасности РКЦ
2.1. Основными задачами администратора информационной
безопасности РКЦ являются:
- обеспечение функционирования установленных средств и систем
защиты информации;
- контроль за соблюдением требований инструкций при
эксплуатации систем защиты информации в системах обработки
электронных платежных документов;
- выявление и регистрация попыток несанкционированного доступа
в систему обработки электронных платежных документов;
- проведение работы по выявлению возможных угроз при обработке
электронных платежных документов с учетом специфики конкретного
места обработки и применяемых средств защиты;
- подготовка предложений для Управления (отдела) безопасности
и защиты информации территориального учреждения Банка России по
совершенствованию систем защиты информации и отдельных ее
компонентов.
2.2. Администратор информационной безопасности РКЦ выполняет
следующие функции:
- проводит контроль технологического процесса обработки
электронных платежных документов на соответствие технологическим
инструкциям, с целью выявления возможных угроз при обработке
электронных платежных документов;
- проводит контроль целостности эксплуатируемого на средствах
вычислительной техники программного обеспечения, с целью выявления
несанкционированных изменений в нем;
- поддерживает функционирование ключевой системы, применяемых
средств криптографической защиты информации;
- формирует и распределяет реквизиты полномочий пользователей,
определяемых эксплуатационной документацией на средства и системы
защиты информации;
- проводит обучение персонала и пользователей вычислительной
техники правилам работы со средствами защиты при обработке
электронных платежных документов;
- контролирует работоспособность эксплуатируемых программных и
технических средств защиты электронных платежей;
- участвует во внедрении технических и программных средств
защиты информации на действующих системах и средствах
вычислительной техники, обрабатывающих электронные платежные
документы;
- осуществляет контроль документооборота по платежным
документам и документам, содержащим сведения ограниченного
распространения;
- контролирует соблюдение требований внутриобъектового режима.
3. Обязанности администратора информационной
безопасности РКЦ
Администратор информационной безопасности РКЦ обязан:
- выявлять попытки несанкционированного доступа в систему
обработки электронных платежных документов;
- немедленно докладывать непосредственному руководителю и
начальнику подразделения безопасности и защиты информации о
выявленных нарушениях и несанкционированных действиях
пользователей и персонала, а также принимать необходимые меры по
устранению нарушений;
- оказывать содействие сотрудникам подразделений безопасности
и защиты информации Банка России в проведении работ по анализу
защищенности систем обработки электронных платежных документов;
- проводить занятия с сотрудниками, обрабатывающими на
средствах вычислительной техники электронные платежные документы,
с целью повышения их профессиональной подготовки в области защиты
информации.
4. Права администратора информационной
безопасности РКЦ
Администратор информационной безопасности РКЦ имеет право:
- требовать от пользователей банковских автоматизированных
систем, находящихся в его ведении, безусловного соблюдения
установленной технологии обработки платежных документов и
выполнения инструкций по обеспечению безопасности и защиты
информации при обработке платежных документов;
- обращаться к руководителю РКЦ с требованием о прекращении
обработки электронных платежных документов при несоблюдении
установленной технологии обработки и невыполнении требований по
безопасности;
- обращаться в Управление (отдел) безопасности и защиты
информации территориального учреждения Банка России для оказания
необходимой технической и методологической помощи в своей работе.
5. Ответственность администратора информационной
безопасности РКЦ
5.1. На администратора информационной безопасности РКЦ
возлагается персональная ответственность за качество проводимых им
работ по обеспечению технической защиты информации в соответствии
с функциональными обязанностями, определенными Положением об
администраторе информационной безопасности конкретного РКЦ.
5.2. Администратор информационной безопасности РКЦ несет
ответственность по действующему законодательству за разглашение
сведений, составляющих государственную тайну, и сведений
ограниченного распространения, ставших известными ему по роду
работы.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
Приложение 3
ТИПОВОЙ ПАСПОРТ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ
АВТОМАТИЗИРОВАННОГО РАБОЧЕГО МЕСТА
Подразделение ________________________________________________
Наименование
автоматизированной
банковской системы ___________________________________________
Вычислительный
комплекс _____________________________________________________
Операционная среда ___________________________________________
Наименование СУБД ____________________________________________
Рабочее место ________________________________________________
N системного блока ___________________________________________
-----------------T-----------T----------T------T-----------T-----¬
¦ Идентификатор ¦Разработчик¦Назначение¦Объем ¦Контрольная¦Прим.¦
¦ модуля ¦ ¦ модуля ¦модуля¦ сумма ¦ ¦
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
+----------------+-----------+----------+------+-----------+-----+
L----------------+-----------+----------+------+-----------+------
Начальник подразделения ______________________________________
Начальник подразделения ТЗИ __________________________________
Начальник подразделения сопровождения ________________________
Приложение 4
ТРЕБОВАНИЯ
К ОРГАНИЗАЦИИ ПАРОЛЬНОЙ ЗАЩИТЫ АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ
УЧАСТНИКА ЭЛЕКТРОННЫХ ПЛАТЕЖЕЙ
1. Участником электронных платежей должна быть организована
централизованная служба (группа в составе подразделения
безопасности и защиты информации) парольной защиты. Задачей данной
службы является организационно - техническое обеспечение процессов
генерации, смены и удаления паролей во всех автоматизированных
системах и ЭВМ участника электронных платежей, разработка всех
необходимых инструкций и контроль за действиями персонала по
работе с паролями.
2. Личные пароли должны выбираться пользователями
автоматизированной системы самостоятельно, но с учетом следующих
требований:
- длина пароля должна быть не менее 8 символов;
- в числе символов пароля обязательно должны присутствовать
буквы в верхнем и нижнем регистрах, цифры и специальные символы
(@, #, $, &, *, % и т.п.);
- пароль не должен включать в себя легко вычисляемые сочетания
символов (имена, фамилии, наименования АРМ и т.д.), а также
общепринятые сокращения (ЭВМ, ЛВС, USER, SYSOP и т.д.);
- при смене пароля новое значение должно отличаться от
предыдущего не менее чем в 6 позициях;
- личный пароль пользователь не имеет права сообщать никому.
Владельцы паролей должны быть ознакомлены под расписку с
перечисленными выше требованиями и предупреждены об
ответственности за использование паролей, не соответствующих
данным требованиям, а также за разглашение парольной информации.
3. В случае, если формирование личных паролей пользователей
осуществляется централизованной службой парольной защиты,
ответственность за правильность их формирования и распределение
возлагается на указанную службу.
4. Резервная копия пароля каждого сотрудника в отдельном
опечатанном конверте должна храниться в сейфе руководителя
подразделения. Для опечатывания конвертов с паролями должны
применяться либо личные печати владельцев (при наличии), либо
печать уполномоченного представителя Управления (отдела)
безопасности и защиты информации территориального учреждения Банка
России.
5. Полная плановая смена паролей должна проводиться регулярно,
не реже одного раза в месяц.
6. Внеплановая смена (удаление) личного пароля любого
пользователя автоматизированной системы в случае прекращения его
полномочий (увольнение либо переход на другую работу внутри
участника электронных платежей) должна производиться немедленно
после окончания последнего сеанса работы данного пользователя с
системой.
7. Внеплановая полная смена паролей должна производиться в
случае прекращения полномочий (увольнение, переход на другую
работу внутри участника электронных платежей и другие
обстоятельства) администраторов информационной безопасности и
других сотрудников, которым по роду работы были предоставлены либо
полномочия по управлению автоматизированной системой в целом, либо
полномочия по управлению подсистемой защиты информации данной
автоматизированной системы, а значит, кроме личного пароля, им
могут быть известны пароли других пользователей системы.
8. В случае компрометации личного пароля хотя бы одного
пользователя автоматизированной системы должны быть немедленно
предприняты меры в соответствии с п. 6 или п. 7 настоящих
Требований в зависимости от полномочий владельца
скомпрометированного пароля.
Начальник ГУ безопасности
и защиты информации
Банка России
А.И.ЛАХТИКОВ
|