Приложение 6. Порядок обеспечения информационной безопасности при использовании средств криптографической защиты информации для целей передачи-приема ЭС. Указание ЦБР от 31.08.2005 N 1611-У "О порядке и формах представления бюро кредитных историй информации, содержащейся в титульных частях кредитных историй, и кодов субъектов кредитных историй в Центральный каталог кредитных историй"

Приложение 6

к Указанию ЦБР

от 31 августа 2005 г. N 1611-У

Порядок обеспечения информационной безопасности при использовании средств криптографической защиты информации для целей передачи-приема ЭС

1. Установка и настройка СКЗИ на автоматизированных рабочих местах (далее - АРМ) пользователей выполняются в присутствии Администратора информационной безопасности, назначаемого владельцем ключа КА или ключа шифрования. При каждом запуске АРМ должен быть обеспечен контроль целостности установленного программного обеспечения СКЗИ.

2. Банком России и БКИ определяется и утверждается порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и иных аналогичных носителей ключевой информации) с секретными ключами КА и ключами шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

3. БКИ приобретает средство формирования ключей КА и шифрования (по рекомендации Банка России) и изготавливает ключи КА и шифрования самостоятельно. Открытые ключи КА и открытые ключи шифрования БКИ направляет на регистрацию в регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2 экземплярах, один из которых остается в регистрационном центре, другой - выдается БКИ.

4. Руководство владельца ключа КА или ключа шифрования утверждает список лиц, имеющих доступ к секретным ключам КА и ключам шифрования (с указанием конкретной информации для каждого лица). Доступ неуполномоченных лиц к носителям ключевой информации исключается.

5. Для хранения носителей ключевой информации с секретными ключами КА и ключами шифрования используются надежные металлические хранилища. Хранение носителей ключевой информации с секретными ключами КА и ключами шифрования допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом пользователем ключа КА и (или) ключа шифрования.

6. В течение рабочего дня вне времени составления и передачи-приема ЭС, а также по окончании рабочего дня носители ключевой информации с секретными ключами КА и (или) ключами шифрования помещаются в хранилище.

7. Не допускается:

снимать несанкционированные копии с носителей ключевой информации;

знакомить с содержанием носителей ключевой информации или передавать носители ключевой информации лицам, к ним не допущенным;

выводить секретные ключи КА или ключи шифрования на дисплей (монитор) электронно-вычислительной машины (далее - ЭВМ) или принтер;

устанавливать носитель секретных ключей КА или ключей шифрования в считывающее устройство (дисковод) ЭВМ, на которой программные средства передачи-приема ЭС функционируют в непредусмотренных (нештатных) режимах, а также на другие ЭВМ;

записывать на носители ключевой информации постороннюю информацию.

8. При компрометации секретного ключа КА или ключа шифрования владелец ключа КА или ключа шифрования, допустивший компрометацию, обязан предпринять все меры для прекращения любых операций с ЭС с использованием этого ключа и немедленно проинформировать о факте компрометации регистрационный центр, который организует внеплановую замену ключей КА или ключей шифрования.

9. По факту компрометации ключа КА или ключа шифрования владелец ключа КА или ключа шифрования, допустивший компрометацию, должен организовать служебное расследование, документально оформленные результаты которого представляются в регистрационный центр.

10. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей работника Банка России или БКИ, имевшего доступ к секретным ключам КА или ключам шифрования, должна быть проведена замена ключей, к которым указанный работник имел доступ.