Положение об организации центра электронных взаимодействий

Данное положение описывает организацию и работу Центра электронных взаимодействий на территории «ВАША ОРГАНИЗАЦИЯ». Центр электронных взаимодействий, в дальнейшем ЦЭВ, был создан в Организации в рамках договоров №________ от "___"__________ 20__года обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе АСБР-Москва, № от "___"__________ 20__года между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений и №________ от "___"__________ 20__года об оказании информационных услуг (предоставлении информации).

Список сторонних организаций, участников электронных взаимодействий, ведется в Журнале, форма которого приведена в Приложении 2 настоящего Положения. При изменении состава участников электронных взаимодействий запись об этом заноситься в данный Журнал сотрудниками Отдела информационной безопасности.

Центр электронных взаимодействий – это помещение, в котором осуществляется процесс электронных взаимодействий со сторонними организациями уполномоченными ответственными исполнителями, согласно утвержденным регламентам.

Размещение, специальное оборудование и охрана помещения, в котором оборудован Центр электронных взаимодействий (ЦЭВ), обеспечивают невозможность неконтролируемого проникновения в эти помещения посторонних лиц.

Посторонние лица - лица не имеющие непосредственного отношения к обработке и передаче документальной информации на данном абонентском пункте.

На входные двери установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещение установлены автоматические электронные замки. Помещение оборудовано системой видеонаблюдения и по окончании рабочего дня опечатывается, а ключи сдаются под охрану.

Двери ЦЭВ должны быть постоянно закрыты на замок и могут открываться только для прохода уполномоченных сотрудников Организации.

Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей ЦЭВ оборудован сейфом, ключи от которого сдаются на охрану под роспись.

По окончании рабочего дня помещение ЦЭВ должно быть закрыто, тубус с ключами опечатан и сдан под роспись на охрану.

При утрате ключа от сейфа или от входной двери в помещение ЦЭВ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от сейфа переделать невозможно, то такой сейф необходимо заменить. Порядок хранения ключевых и других документов в сейфе, от которого утрачен ключ, до изменения секрета замка устанавливает Офицер информационной безопасности ЦЭВ.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещение ЦЭВ посторонних лиц, о случившемся должно быть немедленно сообщено Офицеру информационной безопасности ЦЭВ, в Управление экономической защиты и Отдел информационной безопасности. Прибывшие сотрудники Управления экономической защиты и Отдела информационной безопасности должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.

Технологический процесс электронных взаимодействий со сторонними организациями в ЦЭВ обеспечен методическими материалами и регламентами с учетом всех подразделений «ВАША ОРГАНИЗАЦИЯ», принимающих участие в этих взаимодействиях. Контроль за обеспечением безопасности технологии электронных взаимодействий осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств зашиты на этапах подготовки, обработки, передачи и хранения электронных документов Офицером информационной безопасности и начальником Отдела информационной безопасности.

В подразделениях, осуществляющих электронные взаимодействия, приказом по Организации назначены ответственные за выполнение требований по информационной безопасности – офицеры информационной безопасности.

Рабочее место абонентского пункта паспортизовано. Формуляр программного обеспечения прилагается (Приложение 1).

Установленное на рабочих местах ЦЭВ программное обеспечение (ПО) средств криптографической защиты и разграничения доступа охватывается контролем целостности путем вычисления значений хеш-функций соответствующих файлов.

Запрещается внесение несанкционированных изменений в технические и программные средства ЦЭВ, а также в их состав. Обеспечен непрерывный контроль целостности программного обеспечения путем записи и проверки результатов вычисления значений хеш-функции ПО.

Программные и программно-аппаратные средства защиты Центра электронных взаимодействий обеспечивают:

• парольный вход;
• проверку целостности программного и информационного обеспечения;
• криптографическую защиту передаваемой информации;
• регистрацию действий операторов автоматизированных рабочих мест в специальных журналах (лог-файлах), доступных, только Офицеру информационной безопасности и операторам ЦЭВ.

Перечень необходимых параметров регистрации включает в себя:

• время входа (выхода) в систему и идентификатор пользователя;
• факт обращения к ПО абонентского пункта;
• факты попыток несанкционированного доступа;
• информацию о сбоях и других нештатных ситуациях.

Порядок формирования и смены паролей должен удовлетворять требованиям Правилам надежной работы в ИБС «ВАША ОРГАНИЗАЦИЯ».

Порядок обращения с ключевыми дискетами, выработки ключевой информации определяется в соответствии с положением «Об учете, хранении и использовании носителей ключевой информации (НКИ)» и регламентами по эксплуатации применяемых систем криптографической защиты (СКЗИ), установленных в ЦЭВ. Учет, хранение и выработка ключевых документов организовано в отделе сопровождения электронных расчетов Офицером информационной безопасности.

ЦЭВ относится к 4-ой категории ЭВТ. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к нему не предъявляются.

Пользователи, допускаемые к работе с электронными документами на специально выделенных для этого рабочих местах, назначаются приказом по Организации, с закреплением за каждым пользователем конкретной функции и полномочий, после изучения и проверки знаний правил эксплуатации и обеспечения безопасности. С пользователей берутся расписки о неразглашении и нераспространении конфиденциальной информации, секретных ключей и паролей, согласно «Положению о сведениях, составляющих конфиденциальную информацию в «ВАША ОРГАНИЗАЦИЯ» и основных мерах по организации ее защиты».

Пользователи, допускаемые к работе с электронными документами, регистрируются Офицером информационной безопасности в «Журнале учета сотрудников допущенных к участию в электронных взаимодействиях», с указанием выполняемых ими функций. Перед допуском уполномоченных сотрудников к работе Офицер информационной безопасности проводит первичный инструктаж на рабочем месте и проверяет знания сотрудника по вопросам информационной безопасности.

Лица, принимающие участие в обработке и обеспечении безопасности информации электронных платежных документов, подразделяются на следующие категории:

• Офицер информационной безопасности, в функции которого входит регистрация пользователей, допущенных к работе в ЦЭВ, учет, хранение и выдачи ключевых дискет, контроль за выполнением требований безопасности, осуществляющий непосредственно выработку собственных ключей шифрования и личной электронной цифровой подписи, регистрацию открытых частей ключей у администратора ПРА, использование собственных действующих секретных ключей;
• Оператор ЦЭВ, в функции которого входит осуществление внешних электронных взаимодействий, согласно утвержденным регламентам;
• Участники электронных взаимодействий в ЦЭВ, в функции которых входит инициализация и контроль за электронными взаимодействиями;
• Проверяющие работу ЦЭВ, в функции которых входят контроль за электронными взаимодействиями и соблюдением всех регламентов (сотрудники Управления экономической защиты и Отдела информационной безопасности).