Законодательная база Российской Федерации

ПРИКАЗ ЦБ РФ от 03.03.97 N 02-144 "О ВВЕДЕНИИ В ДЕЙСТВИЕ ВРЕМЕННЫХ ТРЕБОВАНИЙ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ТЕХНОЛОГИЙ ОБРАБОТКИ ЭЛЕКТРОННЫХ ПЛАТЕЖНЫХ ДОКУМЕНТОВ В СИСТЕМЕ ЦЕНТРАЛЬНОГО БАНКА РОССИЙСКОЙ ФЕДЕРАЦИИ"

5.1. Криптографические средства защиты:

- должны допускать встраивание в любую технологическую схему обработки электронных платежных документов, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;

- не должны требовать дополнительной защиты от утечки по побочным каналам электромагнитного излучения;

- должны быть реализованы на основе алгоритмов, соответствующих стандартам Российской Федерации и Банка России;

- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно - штатного обеспечения.

5.1.1. Ключи ЭЦП должны изготавливаться каждым участником системы электронных платежей самостоятельно. В случае изготовления ключей ЭЦП для кредитных организаций в учреждении Банка России согласие кредитной организации считать данную ЭЦП своей личной должно быть зафиксировано в договоре. Процедура изготовления ключей ЭЦП должна быть регламентирована.

5.1.2. Для управления ключами СКЗИ систем электронных платежей Банка России в Главном управлении безопасности и защиты информации Банка России, ГЦИ Банка России и МЦИ при Банке России, а также в каждом Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России должны быть созданы Центры управления ключевыми системами (ЦУКС).

5.2. Средства ЭВТ, вырабатывающие криптографические ключи:

- должны быть автономными, и их необходимо размещать в отдельном, выделенном только для этой цели помещении, оборудованном в соответствии с "Методическими рекомендациями по обеспечению безопасности конфиденциальной банковской информации (несекретной) при проектировании объектов и помещений для размещения СКЗБИ" (утверждены Начальником ГУ безопасности и защиты информации Банка России и Начальником ГУБС ФАПСИ 10 и 8 июня 1994 г. соответственно);

- должны быть подвергнуты спецпроверке на закладные устройства.

5.2.1. Создание ключевой информации должно проводиться на специализированных АРМ, программное обеспечение которых должно выполнять только функции, регламентированные технологическим процессом формирования криптографических ключей.

5.2.2. Дискеты (и другие носители) с ключевой информацией должны быть маркированы и учтены в Управлении (отделе) безопасности и защиты информации территориального учреждения Банка России (ЦУКС) как в электронном, так и бумажном журналах. В маркере на каждой дискете (другом носителе) указываются: наименование записанных ключей, уникальный номер носителя, срок действия ключей. В учетном журнале (и в электронном, и в бумажном вариантах) указываются: фамилия, имя, отчество сотрудника, сформировавшего ключевую дискету (другой носитель), дата формирования, вид содержащейся на дискете ключевой информации, срок действия ключей, перечень лиц, допущенных к работе с данным носителем, дата и причина вывода носителя из действия.

5.2.3. Порядок обращения с дискетами или другими носителями ключевой информации определяется в соответствии с инструкциями и правилами по эксплуатации применяемой системы криптографической защиты.

5.3. ЭВМ, вырабатывающая ключевую информацию, должна быть оснащена программно - аппаратными средствами защиты, обеспечивающими следующие функции:

- парольный вход в электронную вычислительную машину;

- проверку целостности аппаратного, программного и информационного обеспечения ЭВМ;

- автоматическую регистрацию действий сотрудника, вырабатывающего ключевую информацию на ЭВМ, в электронном журнале. Копия журнала должна храниться не менее 5 лет.

Перечень необходимых параметров регистрации должен включать в себя:

- время входа (выхода) в систему и идентификатор пользователя;

- факт обращения к ПО обработки ключевой информации;

- факты попыток НСД;

- информацию о сбоях и других нештатных ситуациях.

5.4. Требования, изложенные в данном разделе, могут быть дополнены требованиями инструкции по эксплуатации конкретной применяемой системы криптографической защиты.