Приложение 6. Порядок обеспечения информационной безопасности при передаче-приеме отчетов в виде электронных документов (ОЭД). Указание ЦБР от 30.06.2000 N 812-У "О порядке представления кредитными организациями в Банк России в электронном виде отчетности, предусмотренной Указанием Банка России от 24.10.97 N 7-У "О порядке составления и представления отчетности кредитными организациями в Центральный банк Российской Федерации", заверенной электронной цифровой подписью" (утратило силу)

                                                             Приложение 6

                                                         к Договору N ___

                                                   от "__" _______ ___ г.

Порядок обеспечения информационной безопасности при передаче-приеме
отчетов в виде электронных документов (ОЭД)
(разрабатывается учреждением Банка России на основании приведенных
ниже положений)

1. Передача ОЭД (ИЭД) Клиентом и прием ОЭД (ИЭД) Банком осуществляется с применением средств защиты информации (СЗИ) - ЭЦП и шифрования (учреждение Банка России указывает конкретные средства защиты информации).

2. Установка и настройка СЗИ на АРМ передачи ОЭД Клиента должны выполняться в присутствии Администратора АРМ передачи ОЭД. Должен быть обеспечен контроль целостности установленного программного обеспечения СЗИ при каждом запуске АРМ.

3. Технологический процесс передачи-приема и обработки ОЭД (ИЭД) с использованием СЗИ должен быть регламентирован и обеспечен инструктивными и методическими материалами.

4. Каждая из Сторон может иметь несколько ЭЦП, зарегистрированных в установленном порядке.

5. Каждой из Сторон должен быть определен и утвержден порядок учета, хранения и использования носителей ключевой информации (ключевых дискет, ключевых идентификаторов Touch Memory, ключевых Smart-карточек и т.п.) с секретными ключами ЭЦП и шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

6. Клиент должен приобрести программно-аппаратный центр генерации ключей ЭЦП (по рекомендации Банка) и изготовить ключи ЭЦП самостоятельно. Открытые ключи ЭЦП он должен направить на регистрацию в Регистрационный центр. Для регистрации изготавливается регистрационная карточка в 2 экземплярах, один из которых остается в Регистрационном центре, другой - выдается Клиенту.

7. Одновременно с регистрацией своих открытых ключей ЭЦП Клиент получает в Регистрационном центре Регистрационную карточку открытого ключа ЭЦП Регистрационного центра.

8. Ключи шифрования, предназначенные для обеспечения конфиденциальности при передаче ОЭД и ИЭД по каналам связи, предоставляются Клиенту Банком. Получение ключей шифрования Клиентом оформляется актом.

9. Руководство каждой из Сторон утверждает список лиц - ответственных исполнителей, имеющих доступ к ключевой информации (с указанием конкретной информации для каждого лица).

10. Для хранения носителей секретных ключей ЭЦП и шифрования в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один - у исполнителя, другой - в службе безопасности). Хранение носителей секретных ключей ЭЦП допускается в одном хранилище с другими документами, но при этом отдельно от них в отдельном контейнере, опечатываемом ответственным исполнителем.

11. Доступ неуполномоченных лиц к носителям ключевой информации должен быть исключен.

12. По окончании рабочего дня, а также вне времени составления и передачи-приема ОЭД и ИЭД носители секретных ключей ЭЦП должны храниться в сейфах.

13. Не допускается:

- снимать несанкционированные копии с ключевых носителей;

- знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным;

- выводить секретные ключи на дисплей (монитор) ПЭВМ или принтер;

- устанавливать ключевой носитель в считывающее устройство (дисковод) ПЭВМ АРМ передачи и приема ОЭД в режимах, не предусмотренных функционированием системы обработки и передачи-приема ОЭД/ИЭД с Банком, а также в другие ПЭВМ;

- записывать на ключевой носитель постороннюю информацию.

14. При компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, обязана предпринять все меры для прекращения любых операций с ОЭД (ИЭД) с использованием этого ключа ЭЦП, а также проинформировать о факте компрометации другую Сторону.

15. По факту компрометации секретного ключа ЭЦП Сторона, допустившая компрометацию, должна организовать служебное расследование, результаты которого должны быть отражены в Акте.

16. При компрометации секретного ключа ЭЦП Сторонам необходимо вывести ключи этой ЭЦП из действия и организовать их внеплановую смену.

17. При компрометации ключа шифрования Сторона, допустившая компрометацию, приостанавливает передачу-прием ОЭД (ИЭД) с использованием этого ключа и информирует о факте компрометации ключа шифрования другую Сторону. Стороны принимают согласованное решение о дальнейших действиях по продолжению либо прекращению передачи-приема ОЭД (ИЭД) до проведения смены скомпрометированного ключа.

18. В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭЦП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.

19. Приостановление действия ЭЦП Клиента, предусмотренное пунктом 5.6 настоящего Договора, осуществляется путем исключения открытого ключа его ЭЦП из справочника открытых ключей участников передачи-приема ОЭД (ИЭД). Процедура возобновления участия в передаче-приеме ОЭД (ИЭД) Клиента должна предусматривать в каждом отдельном случае принятие решения об использовании ранее зарегистрированной ЭЦП Клиента или ее замене.