ПРИКАЗ ЦЕНТРАЛЬНОГО БАНКА РОССИИ

«О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ»

от 3 апреля 1997 г. № 02-144

 

В целях совершенствования безопасности систем обработки, передачи и хранения электронных платежных документов в системе Центрального банка Российской Федерации приказываю:

1. Ввести в действие Временные требования по обеспечению безопасности технологий обработки электронных платежных документов в системе Центрального банка Российской Федерации (далее – Требования) с 31.03.97.

2. Административному департаменту Банка России довести данные Требования до соответствующих подразделений центрального аппарата, территориальных учреждений, а также других подразделений и организаций Банка России, участвующих в совершении электронных платежей.

3. Административному департаменту Банка России предусмотреть соответствующие ассигнования для выплаты надбавок администраторам информационной безопасности в соответствии с данными Требованиями.

4. Руководителям участвующих в совершении электронных платежей территориальных учреждений и других подразделений и организаций Банка России в срок до 01.06.97 разработать и утвердить Положения об администраторе информационной безопасности в соответствии с Приложениями 1, 2 к данным Требованиям.

5. Поручить руководителям участвующих в совершении электронных платежей территориальных учреждений и других подразделений и организаций Банка России в срок до 01.07.97 проанализировать действующие технологии обработки электронных платежных документов на соответствие данным Требованиям и представить в Главное управление безопасности и защиты информации и Департамент информатизации Банка России предложения по приведению используемых технологий в соответствие с настоящими Требованиями.

6. Департаменту информатизации совместно с Главным управлением безопасности и защиты информации до 01.07.97 подготовить предложения по разработке системы ведения архивов электронных платежных документов.

 

ВРЕМЕННЫЕ ТРЕБОВАНИЯ

ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ

от 3 апреля 1997 г. № 60

 

I. Общие положения

1.1. Данные Требования относятся к технологиям, системам и средствам обработки, передачи и хранения электронных платежных (несекретных) документов.

1.2. Требования разработаны в соответствии с положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.3. Требования предназначены для территориальных учреждений, расчетно – кассовых центров и других подразделений и организаций Банка России (далее – участники электронных платежей), принимающих участие в совершении электронных платежей, проектировании, создании, эксплуатации и обеспечении безопасности систем обработки, передачи и хранения электронных платежных документов.

1.4. Разработка технических заданий, проектирование, создание, тестирование и сдача в эксплуатацию систем обработки, передачи и хранения электронных платежных документов должны осуществляться по согласованию с Главным управлением безопасности и защиты информации Банка России и его подразделениями в территориальных учреждениях Банка России.

1.5. Безопасность технологии обработки электронных платежных документов обеспечивается созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных платежных документов.

1.6. Привлекаемые для разработки и установки средств и систем защиты электронных платежных документов на договорной основе специализированные организации должны иметь государственные лицензии от Гостехкомиссии России, ФАПСИ и других государственных органов в соответствии с российским законодательством. Используемые при этом средства защиты информации от несанкционированного доступа (НСД) должны иметь сертификат Гостехкомиссии России.

Криптографическая защиты электронных платежных документов обеспечивается на основе использования средств криптографической защиты информации (СКЗИ), имеющих сертификат или временное разрешение ФАПСИ.

1.7. Внутренний порядок применения средств защиты от НСД и обеспечения криптографической защиты в системах электронных платежей Банка России определяется руководством Банка России.

1.8. Выполнение правил пользования и инструкций по эксплуатации криптографических средств и систем (а также их ключевых систем), рекомендованных Банком России по согласованию с ФАПСИ для защиты электронных платежных документов, является обязательным для обеспечения защиты электронных платежных документов.

1.9. Обязанности по администрированию программно – технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются приказом по участнику электронных платежей на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с внесением соответствующих изменений в их должностные обязанности.

Администратор информационной безопасности действует на основании утвержденного руководителем участника электронных платежей «Положения об администраторе информационной безопасности», разработанного на основе соответствующего Примерного положения (Приложения 1, 2) и согласованного с руководством соответствующих подразделений информатизации, а также безопасности и защиты информации системы Банка России.

Администратору информационной безопасности устанавливается денежная надбавка в размере до 20 процентов его должностного оклада.

1.10. В случае прекращения по тем или иным причинам полномочий сотрудника Банка России, имевшего доступ к системе электронных платежей, необходимо немедленное удаление из системы действующих значений паролей, а также ключей шифрования, ключей электронных цифровых подписей (ЭЦП) и кодов аутентификации, бывших в распоряжении данного сотрудника в соответствии с его прежними должностными обязанностями.

1.11. Объекты электронной вычислительной техники (ЭВТ), на которых осуществляется обработка электронных платежных документов, являются объектами ЭВТ не выше 4 категории. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к ним не предъявляются.

1.12. Требования данного документа распространяются на все виды программного (прикладного и системного), аппаратного и информационного обеспечения автоматизированных систем обработки электронных платежных документов.

II. Обеспечение информационной безопасности при внедрении и эксплуатации систем обработки электронных платежей

2.1. Технологические меры защиты:

- процесс обмена электронными платежными документами (в том числе на магнитных носителях) между участниками электронных платежей и кредитными организациями (клиентами) должен быть регламентирован и осуществляется в соответствии с заключенными договорами;

- основанием для ввода электронного платежного документа (не подтверждаемого первичным документом на бумажном носителе) в систему электронных платежей является наличие под документом действующей и зарегистрированной (в соответствии с условиями договора) ЭЦП кредитной организации (клиента) – отправителя документа и положительный результат ее проверки;

- все поступающие от кредитных организаций электронные платежные документы с ЭЦП помещаются в архив и хранятся не менее пяти лет;

- поступающие от кредитных организаций (клиентов) магнитные носители с электронными платежными документами до ввода в систему электронных платежей подвергаются антивирусному контролю на выделенной для этого автономной персональной электронно – вычислительной машине (ПЭВМ);

- ввод платежных документов в систему электронных платежей должен сопровождаться формированием эталонной базы, содержащей входящие электронные платежные документы с ЭЦП, для осуществления контроля выходных документов;

- при прохождении электронных платежных документов по системе Банка России должны быть реализованы следующие технологические меры защиты:

1) каждый файл выходных электронных платежных документов должен быть снабжен кодом аутентификации (КА) подразделения обработки электронных платежных документов (КА обработки).

Код аутентификации представляет собой защитный код, проставляемый при создании файла электронных платежных документов в целях осуществления контроля его целостности и авторизации на последующих технологических участках обработки. Порядок выработки и применения КА определяется Главным управлением безопасности и защиты информации Банка России по согласованию с Департаментом информатизации Банка России;

2) должен быть реализован полный пореквизитный контроль на совпадение выходных электронных платежных документов с документами, содержащимися в эталонной базе входящих электронных платежных документов, и их сверка с реквизитами соответствующих документов, отраженных по балансу. Указанный контроль выходных электронных платежных документов должен быть организован как параллельный независимый процесс по отношению к процессу обработки электронных платежных документов и осуществляться на автоматизированном рабочем месте контроля;

3) при положительном результате пореквизитного контроля всех документов из файла выходных электронных платежных документов, предназначенных для передачи другим участникам электронных платежей, контролер должен снабдить (не снимая КА обработки) данный файл своим кодом аутентификации (КА контроля), после чего полученный файл с двумя КА должен быть зашифрован и передан в канал связи;

4) при получении одним участником электронных платежей файла электронных платежных документов, отправленных другим участником электронных платежей, должно быть проверено наличие и правильность двух КА – обработки и контроля;

5) ввод (набор) каждого платежного документа с бумажного носителя в систему обработки электронных платежей Банка России должен осуществляться независимо двумя различными сотрудниками с последующей автоматизированной сверкой результатов ввода на совпадение. При совпадении полученный электронный платежный документ передается ответственному исполнителю для дальнейшей обработки. При несовпадении документ должен быть направлен на повторный ввод в присутствии администратора информационной безопасности.

2.2. Организационные меры защиты:

1) технологические процессы подготовки, ввода и обработки электронных платежных документов, а также установки, настройки, эксплуатации и восстановления средств обработки должны быть регламентированы и обеспечены инструктивными и методическими материалами, включая акты готовности региона к совершению межрегиональных и внутрирегиональных электронных платежей;

2) подготовка, ввод и обработка электронных платежных документов должны проводиться типовыми автоматизированными вычислительными системами или на специализированных типовых автоматизированных рабочих местах (АРМ), программное обеспечение которых должно выполнять только функции, определенные данным технологическим процессом. Состав и назначение программного обеспечения (ПО) АРМ должны быть регламентированы и зафиксированы в Типовом паспорте программного обеспечения автоматизированного рабочего места (Приложение 3);

3) порядок внесения санкционированных изменений в действующее ПО обработки электронных платежей, включая контроль за действиями программистов в процессе модификации ПО, должен быть регламентирован, эталонные копии ПО должны быть учтены, доступ к ним должен быть регламентирован;

4) централизованно распространяемое в системе Банка России программное и информационное обеспечение систем электронных платежей должно передаваться по каналам связи (записываться на магнитные носители для рассылки) с использованием механизмов контроля целостности и достоверности, согласованных с Главным управлением безопасности и защиты информации Банка России;

5) порядок действий администраторов информационной безопасности и персонала, занятых в системах обработки и передачи электронных платежных документов, должен быть регламентирован;

6) должен быть разработан комплекс мер, обеспечивающих управление парольной защитой автоматизированных рабочих мест ввода и обработки электронных платежных документов. Порядок формирования и смены паролей должен быть регламентирован специальным документом, разработанным участником электронных платежей в соответствии с Требованиями к организации парольной защиты (Приложение 4);

7) технические средства и персонал, задействованные в подготовке, вводе и обработке электронных платежных документов, должны быть административно разделены и размещаться в разных помещениях с техническими средствами и персоналом, задействованными в разработке и отладке программного обеспечения данного технологического процесса;

8) контур защиты (комплекс мер и средств) передачи и контур защиты внутрибанковской обработки электронных платежных документов должны быть независимы друг от друга.

2.3. Программные и программно – аппаратные средства защиты электронных платежных документов должны обеспечивать:

- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС);

- установление и изменение полномочий, а также контроль доступа пользователей ЭВМ и/или ЛВС к электронным платежным документам и информации о них в части, относящейся к выполнению ими своих служебных обязанностей в случае, если имеет место наличие нескольких пользователей с разными полномочиями;

- контроль целостности программного и информационного обеспечения автоматизированных систем обработки электронных платежных документов;

- формирование уникальных идентификаторов электронных платежных документов и идентификаторов лиц, непосредственно участвовавших в их вводе, обработке и контроле (виды идентификаторов определяются особенностями конкретной технологии);

- регистрацию действий пользователя в специальном электронном журнале, доступном только администратору информационной безопасности.

Копия журнала должна храниться не менее пяти лет.

Перечень необходимых параметров регистрации должен включать в себя:

1) время входа (выхода) в систему и идентификатор пользователя;

2) факт обращения к ПО обработки электронных платежных документов;

3) факты попыток НСД;

4) информацию о сбоях и других нештатных ситуациях.

III. Обеспечение информационной безопасности при передаче электронных платежных документов

3.1. Организационные меры защиты:

1) технологический процесс передачи электронных платежных документов по телекоммуникационным каналам и линиям связи должен быть регламентирован и обеспечен инструктивными и методическими материалами;

2) обмен электронными платежными документами должен проводиться с использованием специализированных автоматизированных рабочих мест, программное обеспечение которых должно выполнять только функции, регламентированные технологическим процессом;

3) в подразделениях, обеспечивающих обмен электронными платежными документами, должны быть назначены исполнители, ответственные за выполнение требований по информационной безопасности – администраторы информационной безопасности;

4) контур защиты передачи и контур защиты внутрибанковской обработки электронных платежных документов должны быть независимы друг от друга.

3.2. Программные и программно – аппаратные средства защиты автоматизированного рабочего места по передаче электронных платежных документов должны обеспечивать:

- парольный вход;

- проверку целостности программного и информационного обеспечения;

- идентификацию абонентов телекоммуникационной сети при входе в автоматизированную систему;

- криптографическую защиту передаваемой информации;

- регистрацию действий оператора автоматизированного рабочего места и абонентов телекоммуникационной сети в специальном электронном журнале, доступном только администратору информационной безопасности данного технологического участка.

Копия журнала должна храниться в течение трех лет.

Перечень необходимых параметров регистрации должен включать в себя:

1) время входа (выхода) в систему и идентификатор пользователя;

2) факт обращения к ПО передачи электронных платежных документов;

3) факты попыток НСД;

4) информацию о сбоях и других нештатных ситуациях.

IV. Обеспечение защиты помещений и технических средств

4.1. Порядок доступа в помещения, в которых размещаются технические средства обработки и передачи электронных платежных документов, должен быть регламентирован.

4.2. Для обеспечения защиты указанных помещений должны быть реализованы следующие меры:

1) на входные двери должны быть установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещения должны быть установлены автоматические замки (электронные, кодовые и т.п.) или другие средства современных систем контроля и регистрации доступа;

2) помещения должны быть оборудованы сигнализацией и по окончании рабочего дня опечатываться и сдаваться под охрану.

V. Обеспечение информационной безопасности

при использовании криптографических средств защиты

5.1. Криптографические средства защиты:

- должны допускать встраивание в любую технологическую схему обработки электронных платежных документов, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

- не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения;

- должны быть реализованы на основе алгоритмов, соответствующих стандартам Российской Федерации и Банка России;

- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно – штатного обеспечения.

5.1.1. Ключи ЭЦП должны изготавливаться каждым участником системы электронных платежей самостоятельно. В случае изготовления ключей ЭЦП для кредитных организаций в учреждении Банка России согласие кредитной организации считать данную ЭЦП своей личной должно быть зафиксировано в договоре. Процедура изготовления ключей ЭЦП должна быть регламентирована.

5.1.2. Для управления ключами СКЗИ систем электронных платежей Банка России в Главном управлении безопасности и защиты информации Банка России, ГЦИ Банка России и МЦИ при Банке России, а также в каждом Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России должны быть созданы Центры управления ключевыми системами (ЦУКС).

5.2. Средства ЭВТ, вырабатывающие криптографические ключи:

- должны быть автономными, и их необходимо размещать в отдельном, выделенном только для этой цели помещении, оборудованном в соответствии с «Методическими рекомендациями по обеспечению безопасности конфиденциальной банковской информации (несекретной) при проектировании объектов и помещений для размещения СКЗБИ» (утверждены Начальником ГУ безопасности и защиты информации Банка России и Начальником ГУБС ФАПСИ 10 и 8 июня 1994 г. соответственно);

- должны быть подвергнуты спецпроверке на закладные устройства.

5.2.1. Создание ключевой информации должно проводиться на специализированных АРМ, программное обеспечение которых должно выполнять только функции, регламентированные технологическим процессом формирования криптографических ключей.

5.2.2. Дискеты (и другие носители) с ключевой информацией должны быть маркированы и учтены в Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России (ЦУКС) как в электронном, так и бумажном журналах.

В маркере на каждой дискете (другом носителе) указываются: наименование записанных ключей, уникальный номер носителя, срок действия ключей.

В учетном журнале (и в электронном, и в бумажном вариантах) указываются: фамилия, имя, отчество сотрудника, сформировавшего ключевую дискету (другой носитель), дата формирования, вид содержащейся на дискете ключевой информации, срок действия ключей, перечень лиц, допущенных к работе с данным носителем, дата и причина вывода носителя из действия.

5.2.3. Порядок обращения с дискетами или другими носителями ключевой информации определяется в соответствии с инструкциями и правилами по эксплуатации применяемой системы криптографической защиты.

5.3. ЭВМ, вырабатывающая ключевую информацию, должна быть оснащена программно – аппаратными средствами защиты, обеспечивающими следующие функции:

- парольный вход в электронную вычислительную машину;

- проверку целостности аппаратного, программного и информационного обеспечения ЭВМ;

- автоматическую регистрацию действий сотрудника, вырабатывающего ключевую информацию на ЭВМ, в электронном журнале.

Копия журнала должна храниться не менее 5 лет.

Перечень необходимых параметров регистрации должен включать в себя:

- время входа (выхода) в систему и идентификатор пользователя;

- факт обращения к ПО обработки ключевой информации;

- факты попыток НСД;

- информацию о сбоях и других нештатных ситуациях.

5.4. Требования, изложенные в данном разделе, могут быть дополнены требованиями инструкции по эксплуатации конкретной применяемой системы криптографической защиты.

VI. Контроль за обеспечением безопасности технологии обработки электронных платежных документов

6.1. Контроль за обеспечением безопасности технологии обработки электронных платежных документов является неотъемлемой составной частью общего комплекса мер безопасности в системе Банка России.

6.2. Контроль за обеспечением безопасности технологии обработки электронных платежных документов должен осуществляться в рамках всего комплекса технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки передачи и хранения электронных платежных документов.

6.3. Контроль за обеспечением безопасности технологии обработки электронных платежных документов в системе Банка России осуществляется Главным управлением безопасности и защиты информации и его территориальными подразделениями безопасности и защиты информации на местах.

 

Председатель

Центрального банка

Российской Федерации

С.К. ДУБИНИН