Положение об организации центра электронных взаимодействий
1. Общие положения
Данное положение описывает организацию и работу Центра электронных взаимодействий на территории «ВАША ОРГАНИЗАЦИЯ». Центр электронных взаимодействий, в дальнейшем ЦЭВ, был создан в Организации в рамках договоров №________ от "___"__________ 20__года обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе АСБР-Москва, № от "___"__________ 20__года между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений и №________ от "___"__________ 20__года об оказании информационных услуг (предоставлении информации).
Список сторонних организаций, участников электронных взаимодействий, ведется в Журнале, форма которого приведена в Приложении 2 настоящего Положения. При изменении состава участников электронных взаимодействий запись об этом заноситься в данный Журнал сотрудниками Отдела информационной безопасности.
Центр электронных взаимодействий – это помещение, в котором осуществляется процесс электронных взаимодействий со сторонними организациями уполномоченными ответственными исполнителями, согласно утвержденным регламентам.
2. Размещение ЦЭВ
Размещение, специальное оборудование и охрана помещения, в котором оборудован Центр электронных взаимодействий (ЦЭВ), обеспечивают невозможность неконтролируемого проникновения в эти помещения посторонних лиц.
Посторонние лица - лица не имеющие непосредственного отношения к обработке и передаче документальной информации на данном абонентском пункте.
На входные двери установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещение установлены автоматические электронные замки. Помещение оборудовано системой видеонаблюдения и по окончании рабочего дня опечатывается, а ключи сдаются под охрану.
Двери ЦЭВ должны быть постоянно закрыты на замок и могут открываться только для прохода уполномоченных сотрудников Организации.
Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей ЦЭВ оборудован сейфом, ключи от которого сдаются на охрану под роспись.
По окончании рабочего дня помещение ЦЭВ должно быть закрыто, тубус с ключами опечатан и сдан под роспись на охрану.
При утрате ключа от сейфа или от входной двери в помещение ЦЭВ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от сейфа переделать невозможно, то такой сейф необходимо заменить. Порядок хранения ключевых и других документов в сейфе, от которого утрачен ключ, до изменения секрета замка устанавливает Офицер информационной безопасности ЦЭВ.
При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещение ЦЭВ посторонних лиц, о случившемся должно быть немедленно сообщено Офицеру информационной безопасности ЦЭВ, в Управление экономической защиты и Отдел информационной безопасности. Прибывшие сотрудники Управления экономической защиты и Отдела информационной безопасности должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.
3. Обеспечение информационной безопасности электронных взаимодействий
Технологический процесс электронных взаимодействий со сторонними организациями в ЦЭВ обеспечен методическими материалами и регламентами с учетом всех подразделений «ВАША ОРГАНИЗАЦИЯ», принимающих участие в этих взаимодействиях. Контроль за обеспечением безопасности технологии электронных взаимодействий осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств зашиты на этапах подготовки, обработки, передачи и хранения электронных документов Офицером информационной безопасности и начальником Отдела информационной безопасности.
В подразделениях, осуществляющих электронные взаимодействия, приказом по Организации назначены ответственные за выполнение требований по информационной безопасности – офицеры информационной безопасности.
Рабочее место абонентского пункта паспортизовано. Формуляр программного обеспечения прилагается (Приложение 1).
Установленное на рабочих местах ЦЭВ программное обеспечение (ПО) средств криптографической защиты и разграничения доступа охватывается контролем целостности путем вычисления значений хеш-функций соответствующих файлов.
Запрещается внесение несанкционированных изменений в технические и программные средства ЦЭВ, а также в их состав. Обеспечен непрерывный контроль целостности программного обеспечения путем записи и проверки результатов вычисления значений хеш-функции ПО.
Программные и программно-аппаратные средства защиты Центра электронных взаимодействий обеспечивают:
- парольный вход;
- проверку целостности программного и информационного обеспечения;
- криптографическую защиту передаваемой информации;
- регистрацию действий операторов автоматизированных рабочих мест в специальных журналах (лог-файлах), доступных, только Офицеру информационной безопасности и операторам ЦЭВ.
Перечень необходимых параметров регистрации включает в себя:
- время входа (выхода) в систему и идентификатор пользователя;
- факт обращения к ПО абонентского пункта;
- факты попыток несанкционированного доступа;
- информацию о сбоях и других нештатных ситуациях.
Порядок формирования и смены паролей должен удовлетворять требованиям Правилам надежной работы в ИБС «ВАША ОРГАНИЗАЦИЯ».
Порядок обращения с ключевыми дискетами, выработки ключевой информации определяется в соответствии с положением «Об учете, хранении и использовании носителей ключевой информации (НКИ)» и регламентами по эксплуатации применяемых систем криптографической защиты (СКЗИ), установленных в ЦЭВ. Учет, хранение и выработка ключевых документов организовано в отделе сопровождения электронных расчетов Офицером информационной безопасности.
ЦЭВ относится к 4-ой категории ЭВТ. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к нему не предъявляются.
4. Требования к персоналу ЦЭВ
Пользователи, допускаемые к работе с электронными документами на специально выделенных для этого рабочих местах, назначаются приказом по Организации, с закреплением за каждым пользователем конкретной функции и полномочий, после изучения и проверки знаний правил эксплуатации и обеспечения безопасности. С пользователей берутся расписки о неразглашении и нераспространении конфиденциальной информации, секретных ключей и паролей, согласно «Положению о сведениях, составляющих конфиденциальную информацию в «ВАША ОРГАНИЗАЦИЯ» и основных мерах по организации ее защиты».
Пользователи, допускаемые к работе с электронными документами, регистрируются Офицером информационной безопасности в «Журнале учета сотрудников допущенных к участию в электронных взаимодействиях», с указанием выполняемых ими функций. Перед допуском уполномоченных сотрудников к работе Офицер информационной безопасности проводит первичный инструктаж на рабочем месте и проверяет знания сотрудника по вопросам информационной безопасности.
Лица, принимающие участие в обработке и обеспечении безопасности информации электронных платежных документов, подразделяются на следующие категории:
- Офицер информационной безопасности, в функции которого входит регистрация пользователей, допущенных к работе в ЦЭВ, учет, хранение и выдачи ключевых дискет, контроль за выполнением требований безопасности, осуществляющий непосредственно выработку собственных ключей шифрования и личной электронной цифровой подписи, регистрацию открытых частей ключей у администратора ПРА, использование собственных действующих секретных ключей;
- Оператор ЦЭВ, в функции которого входит осуществление внешних электронных взаимодействий, согласно утвержденным регламентам;
- Участники электронных взаимодействий в ЦЭВ, в функции которых входит инициализация и контроль за электронными взаимодействиями;
- Проверяющие работу ЦЭВ, в функции которых входят контроль за электронными взаимодействиями и соблюдением всех регламентов (сотрудники Управления экономической защиты и Отдела информационной безопасности).
Приложение 1 - Формуляр рабочего места оператора ЦЭВ
Приложение 2 - Журнал учета сторонних организаций, участников электронных взаимодействий
Приложение 3 - Журнал учета сотрудников, допущенных к участию в электронных взаимодействиях