Законодательная база Российской Федерации

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

1.1. Данные Требования относятся к технологиям, системам и средствам обработки, передачи и хранения электронных платежных (несекретных) документов.

1.2. Требования разработаны в соответствии с положениями федеральных законов, нормативных и иных актов Банка России, Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ).

1.3. Требования предназначены для территориальных учреждений, расчетно - кассовых центров и других подразделений и организаций Банка России (далее - участники электронных платежей), принимающих участие в совершении электронных платежей, проектировании, создании, эксплуатации и обеспечении безопасности систем обработки, передачи и хранения электронных платежных документов.

1.4. Разработка технических заданий, проектирование, создание, тестирование и сдача в эксплуатацию систем обработки, передачи и хранения электронных платежных документов должны осуществляться по согласованию с Главным управлением безопасности и защиты информации Банка России и его подразделениями в территориальных учреждениях Банка России.

1.5. Безопасность технологии обработки электронных платежных документов обеспечивается созданием системы, включающей в себя комплекс технологических, организационных, технических и программных мер и средств защиты на этапах подготовки, обработки, передачи и хранения электронных платежных документов.

1.6. Привлекаемые для разработки и установки средств и систем защиты электронных платежных документов на договорной основе специализированные организации должны иметь государственные лицензии от Гостехкомиссии России, ФАПСИ и других государственных органов в соответствии с российским законодательством.

Используемые при этом средства защиты информации от несанкционированного доступа (НСД) должны иметь сертификат Гостехкомиссии России.

Криптографическая защиты электронных платежных документов обеспечивается на основе использования средств криптографической защиты информации (СКЗИ), имеющих сертификат или временное разрешение ФАПСИ.

1.7. Внутренний порядок применения средств защиты от НСД и обеспечения криптографической защиты в системах электронных платежей Банка России определяется руководством Банка России.

1.8. Выполнение правил пользования и инструкций по эксплуатации криптографических средств и систем (а также их ключевых систем), рекомендованных Банком России по согласованию с ФАПСИ для защиты электронных платежных документов, является обязательным для обеспечения защиты электронных платежных документов.

1.9. Обязанности по администрированию программно - технических средств защиты электронных платежных документов для каждого технологического участка прохождения этих документов возлагаются приказом по участнику электронных платежей на сотрудников (сотрудника), задействованных на данном технологическом участке (администраторов информационной безопасности), с внесением соответствующих изменений в их должностные обязанности.

Администратор информационной безопасности действует на основании утвержденного руководителем участника электронных платежей "Положения об администраторе информационной безопасности", разработанного на основе соответствующего Примерного положения (Приложения 1, 2) и согласованного с руководством соответствующих подразделений информатизации, а также безопасности и защиты информации системы Банка России.

Администратору информационной безопасности устанавливается денежная надбавка в размере до 20 процентов его должностного оклада.

1.10. В случае прекращения по тем или иным причинам полномочий сотрудника Банка России, имевшего доступ к системе электронных платежей, необходимо немедленное удаление из системы действующих значений паролей, а также ключей шифрования, ключей электронных цифровых подписей (ЭЦП) и кодов аутентификации, бывших в распоряжении данного сотрудника в соответствии с его прежними должностными обязанностями.

1.11. Объекты электронной вычислительной техники (ЭВТ), на которых осуществляется обработка электронных платежных документов, являются объектами ЭВТ не выше 4 категории. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к ним не предъявляются.

1.12. Требования данного документа распространяются на все виды программного (прикладного и системного), аппаратного и информационного обеспечения автоматизированных систем обработки электронных платежных документов.