Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 1
к Положению Банка России от 29 августа 2008 г. N 321-П
"О порядке представления кредитными организациями
в уполномоченный орган сведений, предусмотренных
Федеральным законом "О противодействии легализации
(отмыванию) доходов, полученных преступным путем,
и финансированию терроризма"
Порядок обеспечения информационной безопасности при передаче-приеме ОЭС
См. Стандарт Банка России СТО БР ИББС-1.0-2010 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" (принят и введен в действие распоряжением Банка России от 21 июня 2010 г. N Р-705)
1. Передача ОЭС кредитной организацией и прием ОЭС территориальным учреждением осуществляются с применением СКЗИ: средств формирования КА и средств шифрования. Конкретные СКЗИ и способы их использования определяются Банком России.
2. Установка и настройка СКЗИ на автоматизированное рабочее место, с которого осуществляется передача ОЭС кредитной организации (далее - АРМ), выполняются с учетом требований, изложенных в эксплуатационной документации на СКЗИ, в присутствии администратора АРМ, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности программного обеспечения СКЗИ.
3. Технологический процесс передачи и обработки ОЭС с использованием СКЗИ регламентируется и обеспечивается инструктивными и методическими материалами.
4. Каждый из участников обмена (кредитная организация и территориальное учреждение) может иметь резервные ключи КА и ключи шифрования.
5. Каждый из участников обмена определяет и утверждает порядок учета, хранения и использования носителей секретных ключей КА и ключей шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.
6. Открытые ключи КА, изготавливаемые кредитной организацией и используемые при формировании КА ОЭС, подлежат регистрации в регистрационном центре территориального учреждения. Для регистрации ключа средствами СКЗИ изготавливается регистрационная карточка в двух экземплярах (приложение 2 к настоящему Положению), один из которых остается в территориальном учреждении, другой возвращается кредитной организации. Порядок распределения серий и номеров ключей КА определяется Банком России.
7. Ключи шифрования для работы с ОЭС изготавливаются Банком России и передаются кредитной организации территориальным учреждением вместе с соответствующим справочником открытых ключей шифрования. Для данных ключей изготовление регистрационной карточки не требуется.
8. Факт передачи территориальным учреждением ключей шифрования и соответствующего справочника открытых ключей шифрования кредитной организации регистрируется в соответствии с порядком, определяемым территориальным учреждением (оформляется актом или записью в журнале). Форма журнала передачи ключей шифрования или форма акта передачи ключей шифрования устанавливается территориальным учреждением.
9. Руководство каждого из участников обмена утверждает список ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и ключей шифрования (далее - уполномоченные лица), с указанием конкретной информации по каждому уполномоченному лицу.
10. Для хранения носителей секретных ключей КА и ключей шифрования в помещениях участников обмена должны устанавливаться металлические хранилища, оборудованные приспособлениями для опечатывания и запирающими устройствами с двумя экземплярами ключей (один экземпляр ключей хранится у уполномоченного лица, другой - в службе безопасности или у руководителя кредитной организации, территориального учреждения). Хранение носителей секретных ключей КА и ключей шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом уполномоченным лицом.
11. Доступ неуполномоченных лиц к носителям секретных ключей КА и ключей шифрования не допускается.
12. По окончании рабочего дня, а также в то время, когда формирование и передача ОЭС не осуществляется, носители секретных ключей КА и ключей шифрования должны находиться в хранилищах.
13. Не допускается:
снимать несанкционированные копии с носителей секретных ключей КА и ключей шифрования;
знакомить с содержанием носителей секретных ключей КА и ключей шифрования неуполномоченных лиц или передавать носители секретных ключей КА и ключей шифрования неуполномоченным лицам;
выводить секретные ключи КА и ключи шифрования на дисплей (монитор) персональной электронной вычислительной машины (далее - ПЭВМ) или принтер;
устанавливать носитель секретных ключей КА и ключей шифрования в считывающее устройство ПЭВМ АРМ в непредусмотренных режимах функционирования системы обработки и передачи ОЭС, а также в другие ПЭВМ;
записывать на носитель секретных ключей КА и ключей шифрования постороннюю информацию.
14. При компрометации секретного ключа КА и (или) ключа шифрования, под которой понимается событие, определенное владельцем ключа КА и (или) ключа шифрования как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА и (или) ключом шифрования, участник обмена, допустивший компрометацию, обязан немедленно предпринять все меры для прекращения любых операций с ОЭС с использованием скомпрометированного ключа КА и (или) ключа шифрования, а также письменно проинформировать о факте компрометации других участников обмена не позднее рабочего дня, следующего за днем компрометации.
15. При компрометации секретного ключа КА и (или) ключа шифрования участникам обмена необходимо вывести данный секретный и соответствующий ему открытый ключ из действия и организовать их внеплановую замену.
16. По факту компрометации секретного ключа КА и (или) ключа шифрования участник обмена, допустивший компрометацию, организовывает и проводит служебное расследование, результаты которого отражаются в акте служебного расследования.
17. Кредитная организация и территориальное учреждение принимают согласованное решение о сроках замены скомпрометированного ключа КА и (или) ключа шифрования и о дальнейших действиях по обмену ОЭС до замены скомпрометированного ключа КА и (или) ключа шифрования.
18. В случаях увольнения, перевода в другое подразделение, на другую должность, изменения функциональных обязанностей уполномоченного лица, влекущих прекращение его доступа к носителям секретных ключей КА и (или) ключей шифрования, должна быть проведена замена ключей, к которым он имел доступ.
19. Допускается использование в качестве носителей секретных ключей КА и (или) ключей шифрования любых поддерживаемых СКЗИ типов носителей. При изготовлении ключей (копий ключей) тип носителей, выбранных для размещения секретных ключей, регламентируется внутренними документами кредитной организации. Секретные ключи шифрования, полученные кредитной организацией в территориальном учреждении, являются оригиналами. В кредитной организации в соответствии с внутренними документами с оригинала изготавливается необходимое количество рабочих копий с использованием программного обеспечения СКЗИ на выбранный допустимый тип носителя.
При использовании в качестве носителей секретных ключей КА и ключей шифрования устройств, подключаемых к USB-порту ПЭВМ, принимаются все меры для исключения возможности несанкционированного копирования информации.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.