Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Приложение 12
к договору об обмене
электронными сообщениями
при переводе денежных
средств в рамках платежной
системы Банка России
Требования
к защите информации, выполняемые Клиентом - пользователем СПФС63
1. Клиент в части требований к защите информации при обмене ЭС через СПФС обеспечивает выполнение следующих требований.
1.1. Общие требования к обеспечению защиты информации.
Клиент обеспечивает защиту:
информации, содержащейся в ФС;
ключей КА (ЭП) и ключей шифрования, используемых при обмене ЭС;
информации об объектах информационной инфраструктуры, а также информации о конфигурации, определяющей параметры работы технических средств защиты информации;
информации ограниченного доступа, в том числе персональных данных и иной информации, подлежащей обязательной защите в соответствии с законодательством Российской Федерации, содержащейся в ФС.
1.2. Требования к организационному и документационному обеспечению защиты информации.
1.2.1. Для защиты информации при осуществлении доступа к объектам информационной инфраструктуры Клиент должен обеспечивать доступ к АРМ обмена только из сегмента локальной вычислительной сети, в котором расположен АРМ обмена с СПФС (далее - участок обмена с СПФС).
1.2.2. В целях фиксации решения о необходимости применения организационных мер защиты информации и (или) использования технических средств защиты информации и обеспечения применения указанных мер Клиентом должны быть разработаны документы в соответствии с перечнем процедур, регламентируемых в целях обеспечения информационной безопасности (пункт 2 настоящего приложения). Документы, регламентирующие процедуры по информационной безопасности, должны быть согласованы со службой информационной безопасности Клиента.
1.2.3. Документы, указанные в пункте 1.2.2 настоящего приложения, должны определять порядок обеспечения защиты информации и предусматривать меры по обеспечению защиты информации на всех стадиях создания, эксплуатации (использования по назначению, технического обслуживания и ремонта), модернизации, снятия с эксплуатации объектов информационной инфраструктуры участка обмена с СПФС.
1.2.4. Клиент должен обеспечивать выполнение требований эксплуатационной документации на системы защиты информации от несанкционированного доступа (далее - СЗИ от НСД), СКЗИ, средства защиты от воздействий вредоносного кода (далее - СЗ от ВВК) в течение всего срока их эксплуатации, в том числе при установке и настройке, а также обеспечить восстановление указанных технических средств защиты информации в случаях сбоев и (или) отказов в их работе.
1.3. Требования к защите информации при физическом доступе к участку обмена с СПФС.
1.3.1. Клиент осуществляет контроль физического доступа к объектам информационной инфраструктуры в целях предотвращения физического воздействия на средства вычислительной техники, применяемые для формирования, обработки, контроля и передачи ЭС, с использованием организационных мер или технических средств контроля и управления доступом в помещения, в которых формируются, обрабатываются, контролируются и передаются (принимаются) ЭС (далее - помещения).
1.3.2. Физический доступ в помещения должен предоставляться только тем работникам Клиента, которые указаны в списке доступа в данные помещения.
1.3.3. Помещения должны быть оборудованы охранной сигнализацией, сдаваться под охрану и располагаться в зоне действия системы видеонаблюдения и контроля доступа.
1.3.4. Срок хранения информации систем видеонаблюдения и контроля доступа), предусмотренных пунктом 1.3.3 настоящего приложения, должен составлять не менее трех лет.
1.4. Требования к защите информации при логическом доступе к участку обмена с СПФС.
1.4.1. Процедуры идентификации, аутентификации и авторизации при логическом доступе работников Клиента к участку обмена с СПФС должны осуществляться с использованием персонифицированных уникальных учетных записей в соответствии с действующим перечнем субъектов доступа, которым предоставлен логический доступ к участку обмена с СПФС.
1.4.2. В целях регистрации действий при осуществлении логического доступа работников к участку обмена с СПФС и действий, связанных с назначением и распределением прав логического доступа, а также обеспечения хранения указанной информации должно быть обеспечено ведение следующих электронных журналов:
журналов логического доступа к информационным ресурсам СПФС (далее - журналы логического доступа);
журналов операций, выполненных при осуществлении логического доступа к информационным ресурсам СПФС (далее - журналы операций);
журналов средств защиты информации.
Сроки хранения журналов логического доступа, журналов операций и журналов средств защиты информации должны составлять не менее трех лет.
1.4.3. В целях защиты информации от несанкционированного доступа журналы логического доступа и журналы операций должны быть доступны работникам службы информационной безопасности Клиента и работникам, осуществляющим обслуживание объектов информационной инфраструктуры на участке обмена с СПФС. Журналы средств защиты информации должны быть доступны только работникам службы информационной безопасности Клиента. Внесение исправлений в журналы операций не допускается.
1.5. Требования к использованию технологических мер защиты информации.
1.5.1. Функции формирования, обработки, контроля и передачи (приема) ЭС должны осуществляться с использованием АРМ обмена или с использованием специальной компоненты АС Клиента.
1.5.2. Для защиты ЭС от искажения, фальсификации, переадресации, несанкционированного ознакомления, уничтожения и ложной авторизации программным обеспечением АРМ обмена или специальной компоненты АС Клиента должны выполняться только функции, предусмотренные пунктом 1.5.1 настоящего приложения.
1.5.3. Контроль (мониторинг) соблюдения установленной технологии при подготовке, обработке, передаче и хранении ЭС осуществляется Клиентом путем регистрации всех операций в технологических процессах, осуществляемых на участке обмена с СПФС, в которых осуществляется взаимодействие работников с объектами информационной инфраструктуры.
1.5.4. В целях обеспечения возможности восстановления информации в случае умышленного (случайного) разрушения (искажения) или выхода из строя средств вычислительной техники, а также обеспечения сверки выходных ЭС с соответствующими входными и обработанными ЭС Клиент должен хранить все входящие и исходящие ЭС. Сроки хранения входящих и исходящих ЭС должны составлять не менее пяти лет.
1.6. Требования к контролю программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС.
1.6.1. В целях контроля несанкционированного внесения изменений в состав установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС программного обеспечения должен осуществляться контроль целостности программного обеспечения АРМ обмена при каждом включении.
1.6.2. В целях учета и контроля состава программного обеспечения, установленного и (или) используемого на средствах вычислительной техники участка обмена с СПФС, Клиент должен вести актуальный перечень указанного программного обеспечения.
1.7. Требования к защите информации от воздействий вредоносного кода на участке обмена с СПФС.
1.7.1. На участке обмена с СПФС Клиент должен использовать СЗ от ВВК различных производителей и обеспечивать их раздельную установку на персональных электронных вычислительных машинах и серверах.
1.7.2. Клиент должен проводить предварительную проверку программного обеспечения и средств вычислительной техники на отсутствие вредоносного кода перед их включением в участок обмена с СПФС.
1.7.3. В целях информирования пользователей СПФС об обнаружении вредоносного кода или факта воздействия вредоносного кода Клиент должен вести статистику событий, связанных с воздействиями вредоносного кода на участке обмена с СПФС.
1.7.4. Сроки хранения данных о событиях, связанных с воздействиями вредоносного кода на участке обмена с СПФС и их анализе, должны составлять не менее трех лет.
1.8. Требования по применению СКЗИ на участке обмена с СПФС.
1.8.1. В целях предотвращения несанкционированного использования криптографических ключей при организации работы с криптографическими ключами Клиентом должно обеспечиваться выполнение следующих требований:
исключение возможности доступа неуполномоченных лиц к криптографическим ключам;
использование носителей с рабочей копией криптографического ключа при работе с СКЗИ;
использование хранилищ (металлические шкафы, сейфы) для хранения носителей с криптографическими ключами по окончании рабочего дня, а также вне времени работы с СКЗИ (допускается хранение носителей с криптографическими ключами в хранилище вместе с иными документами при условии помещения носителей с криптографическими ключами в отдельный опечатываемый контейнер);
информирование Банка в случае возникновения или подозрения на возникновение события, определяемого владельцем ключа КА (ЭП), ключа шифрования как ознакомление неуполномоченного лица (лиц) его криптографическим ключом, и инициирование действий по внеплановой смене криптографического ключа в порядке, установленном в приложении 4 к Договору;
исключение возможности выполнения следующих действий:
изготовления несанкционированных копий с носителей криптографических ключей;
ознакомления с содержанием носителей криптографических ключей или передача носителей криптографических ключей лицам, не имеющим прав доступа к носителям криптографических ключей;
вывода криптографических ключей на дисплей электронной вычислительной машины (далее - ЭВМ) или устройства вывода (печати) текстовой или графической информации;
установки носителей криптографических ключей в считывающее устройство ЭВМ, на которой осуществляется функционирование СКЗИ в нештатных режимах, а также на другие ЭВМ, не предназначенные для работы в соответствии с настоящим Договором;
записи на носители криптографических ключей любой информации, за исключением криптографического ключа.
1.8.2. В целях обеспечения безопасности процессов изготовления криптографических ключей при выходе из строя носителя с рабочей копией криптографического ключа необходимо с использованием программного обеспечения СКЗИ изготовить новый носитель с рабочей копией криптографического ключа на основе носителя, содержащего оригинал криптографического ключа.
1.9. Требования к повышению осведомленности работников в области обеспечения защиты информации.
1.9.1. В целях обеспечения повышения осведомленности работников в области обеспечения защиты информации Клиент должен проводить и документально фиксировать обучение работников по вопросам обеспечения информационной безопасности на участке обмена с СПФС с привлечением службы информационной безопасности Клиента.
1.9.2. Клиентом должны быть назначены лица, ответственные за разработку, реализацию планов и программ обучения по вопросам информационной безопасности на участке обмена с СПФС.
1.10. Требования к информированию Банка о выявленных инцидентах и хранению информации об инцидентах.
1.10.1. Клиент информирует Банк о выявленных инцидентах, связанных с нарушением требований к обеспечению защиты информации на участке обмена с СПФС (далее - инциденты), а также о подозрениях, о возникновении или о возможности возникновения инцидентов на участке обмена с СПФС. Информирование осуществляется Клиентом в произвольной форме путем направления сообщения на электронный адрес fincert@cbr.ru либо путем инициирования запроса о передаче данных сведений с применением мер и средств защиты информации не позднее трех часов после выявления инцидента.
1.10.2. В целях анализа обеспечения защиты информации при осуществлении обмена ЭС Клиент должен документально фиксировать всю информацию об инцидентах, включая результаты анализа причин возникновения инцидентов, информацию о действиях, принятых для минимизации негативных последствий инцидентов и иную информацию, связанную с инцидентами.
1.10.3. Срок хранения информации об инцидентах должен составлять не менее трех лет с даты возникновения инцидента.
1.11. Требования к обеспечению восстановления функционирования технических средств на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.
1.11.1. Клиент должен разработать и утвердить план ОНиВД, согласованный со службой информационной безопасности Клиента и предусматривающий мероприятия по восстановлению функционирования технических средств защиты информации и объектов информационной инфраструктуры на участке обмена с СПФС в случаях сбоев и (или) отказов в их работе.
1.11.2. Клиентом должны быть назначены работники, ответственные за функционирование технических средств защиты информации на участке обмена с СПФС, в том числе за ОНиВД.
1.12. Требования по контролю выполнения требований к защите информации.
1.12.1. В целях обеспечения проведения оценки требований к обеспечению защиты информации при обмене ЭС Клиент должен проводить и документально подтверждать проведение контроля выполнения требований к защите информации (далее - контроль ТЗИ), установленных настоящим Договором. Контроль ТЗИ и его анализ должен проводиться Клиентом не реже одного раза в квартал.
1.12.2. Срок хранения информации о результатах проведения контроля ТЗИ и решениях, принятых по результатам указанного контроля, должен составлять не менее трех лет с даты проведения контроля ТЗИ.
2. Клиент в целях обеспечения информационной безопасности при обмене ЭС выполняет следующие регламентированные процедуры.
N п/п |
Процедура/Наименование документа |
1. |
Назначение куратора по информационной безопасности |
2. |
Создание подразделений (назначение работников), ответственных за организацию и контроль обеспечения защиты информации, а также выделение им необходимых ресурсов |
3. |
Основные положения о службе информационной безопасности Клиента (в том числе полномочия) |
4. |
Назначение работников, ответственных за выполнение порядка обеспечения защиты информации на участке обмена с СПФС, и определение их функций и задач |
5. |
Организация обеспечения информационной безопасности с учетом требований настоящего Договора |
6. |
Обеспечение защиты информации при осуществлении переводов денежных средств с использованием информационно-телекоммуникационной сети "Интернет" |
7. |
Определение участка обмена с СПФС |
8. |
Функции и задачи работников при осуществлении контроля ТЗИ |
9. |
Организация защиты от воздействия вредоносного кода |
10. |
Проведение предварительной проверки программного обеспечения и СВТ на отсутствие вредоносного кода |
11. |
Перечень и описание объектов информационной инфраструктуры участка обмена с СПФС |
12. |
Порядок уничтожения неиспользуемой защищаемой информации на стадиях жизненного цикла объектов информационной инфраструктуры участка обмена с СПФС |
13. |
Перечень средств защиты информации, используемых на участке обмена с СПФС |
14. |
Учет и контроль программного обеспечения, установленного на средствах вычислительной техники участка обмена с СПФС |
15. |
Состав и порядок применения организационных мер и технических средств защиты информации на участке обмена с СПФС |
16. |
Функции и задачи работников, ответственных за процессы реагирования на инциденты на участке обмена с СПФС |
17. |
Порядок действий по выявлению и реагированию на инциденты на участке обмена с СПФС |
18. |
Перечень и сроки проведения контроля ТЗИ |
19. |
Перечень и сроки проведения мероприятий по обучению и повышению информированности работников по вопросам защиты информации |
20. |
Программа обучения работников по вопросам защиты информации |
21. |
Перечень лиц, имеющих доступ к объектам информационной инфраструктуры участка обмена с СПФС, и порядок осуществления доступа |
22. |
Перечень лиц, обладающих правами по воздействию на объекты информационной инфраструктуры, которое может привести к нарушению предоставления услуг по осуществлению переводов денежных средств |
23. |
Перечень лиц, обладающих правами по формированию электронных сообщений на АРМ обмена |
24. |
Описание функций и задач пользователей программных и технических средств, эксплуатируемых на участке обмена с СПФС, а также персонала, обеспечивающего эксплуатацию и администрирование указанных средств |
25. |
Функции и задачи работников, ответственных за обеспечение непрерывности и восстановление деятельности Клиента, в том числе функционирования технических средств защиты информации |
26. |
План ОНиВД Клиента |
27. |
Порядок действий по обеспечению непрерывности и восстановлению деятельности Клиента и функционирования технических средств защиты информации |
28. |
Технологические процессы подготовки, приема, ввода, обработки и передачи ЭС |
29. |
Информация о СКЗИ, применяемых на участке обмена с СПФС, порядок обращения с СКЗИ на всех этапах жизненного цикла СКЗИ, основные положения об обеспечении безопасности криптографических ключей |
30. |
Перечень работников, обладающих правами по управлению криптографическими ключами |
31. |
Перечень работников, допущенных к работе со СКЗИ на участке обмена с СПФС |
32. |
Назначение лица, ответственного за обеспечение функционирования и безопасности СКЗИ (ответственный пользователь СКЗИ), а также назначение постоянно действующих комиссий по уничтожению СКЗИ, назначение лиц, ответственных за формирование криптографических ключей и обеспечение безопасности криптографических ключей |
33. |
Перечень работников, обладающих правами доступа в помещения участка обмена с СПФС |
34. |
Перечень программного обеспечения для каждого объекта информационной инфраструктуры |
35. |
Акты установки (настройки) СЗ от ВВК |
36. |
Акты установки (настройки) СКЗИ на технических средствах участка обмена с СПФС |
37. |
Результаты контроля ТЗИ и решения, принятые по результатам контроля ТЗИ с указанием участников, оснований для проведения контроля и объекта контроля ТЗИ |
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.