Законодательная база Российской Федерации

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

2.1. Технологические меры защиты:

- процесс обмена электронными платежными документами (в том числе на магнитных носителях) между участниками электронных платежей и кредитными организациями (клиентами) должен быть регламентирован и осуществляется в соответствии с заключенными договорами;

- основанием для ввода электронного платежного документа (не подтверждаемого первичным документом на бумажном носителе) в систему электронных платежей является наличие под документом действующей и зарегистрированной (в соответствии с условиями договора) ЭЦП кредитной организации (клиента) - отправителя документа и положительный результат ее проверки;

- все поступающие от кредитных организаций электронные платежные документы с ЭЦП помещаются в архив и хранятся не менее пяти лет;

- поступающие от кредитных организаций (клиентов) магнитные носители с электронными платежными документами до ввода в систему электронных платежей подвергаются антивирусному контролю на выделенной для этого автономной персональной электронно - вычислительной машине (ПЭВМ);

- ввод платежных документов в систему электронных платежей должен сопровождаться формированием эталонной базы, содержащей входящие электронные платежные документы с ЭЦП, для осуществления контроля выходных документов;

- при прохождении электронных платежных документов по системе Банка России должны быть реализованы следующие технологические меры защиты:

1) каждый файл выходных электронных платежных документов должен быть снабжен кодом аутентификации (КА) подразделения обработки электронных платежных документов (КА обработки). Код аутентификации представляет собой защитный код, проставляемый при создании файла электронных платежных документов в целях осуществления контроля его целостности и авторизации на последующих технологических участках обработки. Порядок выработки и применения КА определяется Главным управлением безопасности и защиты информации Банка России по согласованию с Департаментом информатизации Банка России;

2) должен быть реализован полный пореквизитный контроль на совпадение выходных электронных платежных документов с документами, содержащимися в эталонной базе входящих электронных платежных документов, и их сверка с реквизитами соответствующих документов, отраженных по балансу. Указанный контроль выходных электронных платежных документов должен быть организован как параллельный независимый процесс по отношению к процессу обработки электронных платежных документов и осуществляться на автоматизированном рабочем месте контроля;

3) при положительном результате пореквизитного контроля всех документов из файла выходных электронных платежных документов, предназначенных для передачи другим участникам электронных платежей, контролер должен снабдить (не снимая КА обработки) данный файл своим кодом аутентификации (КА контроля), после чего полученный файл с двумя КА должен быть зашифрован и передан в канал связи;

4) при получении одним участником электронных платежей файла электронных платежных документов, отправленных другим участником электронных платежей, должно быть проверено наличие и правильность двух КА - обработки и контроля;

5) ввод (набор) каждого платежного документа с бумажного носителя в систему обработки электронных платежей Банка России должен осуществляться независимо двумя различными сотрудниками с последующей автоматизированной сверкой результатов ввода на совпадение. При совпадении полученный электронный платежный документ передается ответственному исполнителю для дальнейшей обработки. При несовпадении документ должен быть направлен на повторный ввод в присутствии администратора информационной безопасности.

2.2. Организационные меры защиты:

- технологические процессы подготовки, ввода и обработки электронных платежных документов, а также установки, настройки, эксплуатации и восстановления средств обработки должны быть регламентированы и обеспечены инструктивными и методическими материалами, включая акты готовности региона к совершению межрегиональных и внутрирегиональных электронных платежей;

- подготовка, ввод и обработка электронных платежных документов должны проводиться типовыми автоматизированными вычислительными системами или на специализированных типовых автоматизированных рабочих местах (АРМ), программное обеспечение которых должно выполнять только функции, определенные данным технологическим процессом. Состав и назначение программного обеспечения (ПО) АРМ должны быть регламентированы и зафиксированы в Типовом паспорте программного обеспечения автоматизированного рабочего места (Приложение 3);

- порядок внесения санкционированных изменений в действующее ПО обработки электронных платежей, включая контроль за действиями программистов в процессе модификации ПО, должен быть регламентирован, эталонные копии ПО должны быть учтены, доступ к ним должен быть регламентирован;

- централизованно распространяемое в системе Банка России программное и информационное обеспечение систем электронных платежей должно передаваться по каналам связи (записываться на магнитные носители для рассылки) с использованием механизмов контроля целостности и достоверности, согласованных с Главным управлением безопасности и защиты информации Банка России;

- порядок действий администраторов информационной безопасности и персонала, занятых в системах обработки и передачи электронных платежных документов, должен быть регламентирован;

- должен быть разработан комплекс мер, обеспечивающих управление парольной защитой автоматизированных рабочих мест ввода и обработки электронных платежных документов. Порядок формирования и смены паролей должен быть регламентирован специальным документом, разработанным участником электронных платежей в соответствии с Требованиями к организации парольной защиты (Приложение 4);

- технические средства и персонал, задействованные в подготовке, вводе и обработке электронных платежных документов, должны быть административно разделены и размещаться в разных помещениях с техническими средствами и персоналом, задействованными в разработке и отладке программного обеспечения данного технологического процесса;

- контур защиты (комплекс мер и средств) передачи и контур защиты внутрибанковской обработки электронных платежных документов должны быть независимы друг от друга.

2.3. Программные и программно - аппаратные средства защиты электронных платежных документов должны обеспечивать:

- функционирование системы парольной защиты электронных вычислительных машин (ЭВМ) и локальных вычислительных сетей (ЛВС);

- установление и изменение полномочий, а также контроль доступа пользователей ЭВМ и/или ЛВС к электронным платежным документам и информации о них в части, относящейся к выполнению ими своих служебных обязанностей в случае, если имеет место наличие нескольких пользователей с разными полномочиями;

- контроль целостности программного и информационного обеспечения автоматизированных систем обработки электронных платежных документов;

- формирование уникальных идентификаторов электронных платежных документов и идентификаторов лиц, непосредственно участвовавших в их вводе, обработке и контроле (виды идентификаторов определяются особенностями конкретной технологии);

- регистрацию действий пользователя в специальном электронном журнале, доступном только администратору информационной безопасности. Копия журнала должна храниться не менее пяти лет.

Перечень необходимых параметров регистрации должен включать в себя:

- время входа (выхода) в систему и идентификатор пользователя;

- факт обращения к ПО обработки электронных платежных документов;

- факты попыток НСД;

- информацию о сбоях и других нештатных ситуациях.