====== Положение об учете, хранении и использовании носителей ключевой информации ======
===== 1. Нормативные документы =====
Положение разрабатывалось с учетом:

  * Федерального закона "Об электронной цифровой подписи"
  * "Временного положения о цифровой электронной подписи (ЭЦП) в системе межрегиональных электронных платежей ЦБ РФ в период проведения эксперимента", утвержденного 16 августа 1995 г. Первым Заместителем Председателя ЦБ РФ А.В.Войлуковым
  * Временных требований ЦБ РФ № 60 от 03 апреля 1997 г. "По обеспечению безопасности технологии обработки электронных платежных документов в системе Центрального банка Российской Федерации"
  * Положения ЦБ РФ № 20-П от 12 марта 1998 г. "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России" в редакции Указания Банка России № 774-У от 11.04.2000 г.
===== 2. Общие положения =====

2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

2.2. Данное Положение включает:

  * организационные мероприятия по работе с НКИ;
  * порядок использования НКИ в системе электронных взаимодействий;
  * порядок изготовления, учета, регистрации ключей ЭЦП и ключей шифрования в системе электронных взаимодействий;
  * порядок действий при компрометации ключевых материалов;
  * порядок обеспечения режима безопасности при работе с НКИ.
2.3. Основные термины:

  * **Носитель ключевой информации** – носитель информации (дискета, флэш-память, и прочие носители) на которых храниться электронный ключ, предназначенный для защиты электронных взаимодействий.
  * **ЦУКС** - центр управления ключевыми системами место изготовления носителя ключевой информации НКИ.
  * **Секретный (закрытый) ключ подписи** - ключ предназначенный для формирования им электронной цифровой подписи электронных документов.
  * **Открытый (публичный) ключ подписи** - ключ, автоматически формируется при изготовлении секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи электронного документа. Открытый ключ считается принадлежащим участнику электронных взаимодействий, если он был сертифицирован (зарегистрирован) установленным порядком.
  * **Ключ шифрования** - ключ предназначенный для закрытия электронного документа при электронных взаимодействиях.
  * **Шифрование** - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей.
  * **Компрометация ключевой информации** - утрата, хищение, несанкционированное копирование или подозрение на копирование носителя ключевой информации НКИ или любые другие ситуации, при которых достоверно не известно, что произошло с НКИ. К компрометации ключевой информации также относится увольнение сотрудников, имевших доступ к ключевой информации.
  * **Сертификация ключа** - процедура заверения (подписания) открытой части регистрируемого ключа электронной цифровой подписью.
  * **Заявка на регистрацию ключа** - служебное сообщение, содержащее новый открытый ключ, подписанное электронной цифровой подписью.
===== 3. Организация работы с носителями ключевой информации =====

Лица, имеющие доступ к носителям ключевой информации, несут за нее персональную ответственность. Список лиц, имеющих доступ к дискетам с ключевой информацией, составляется Начальником Отдела информационной безопасности и фиксируется в приказе по Банку.

В целях обеспечения идентификации отправителей и получателей информации, защиты ее от несанкционированного доступа:

3.1. Председатель Правления Банка назначает ответственных за осуществление электронных взаимодействий со сторонними организациями из руководителей подразделений и наделяет ответственных сотрудников правом установки электронной подписи отправляемых документов приказом по Банку.

3.2. Начальник Отдела информационной безопасности, по согласованию с Начальником Управления информационных технологий назначает сотрудников УИТ ответственных за установку на рабочих станциях ответственных сотрудников, назначенных в п.2.1., соответствующих средств для обеспечения электронных взаимодействий и СКЗИ.

3.3. Сотрудники ОИБ, совместно с сотрудниками УИТ, назначенные в п.2.2. должны провести обучение ответственных сотрудников подразделений, участвующих в электронных взаимодействиях со сторонними организациями, работе со средствами обеспечения электронного документооборота и СКЗИ.

3.4. Контроль за электронными взаимодействиями и использованием носителей ключевой информации осуществляют сотрудники Отдела информационной безопасности, Службы внутреннего контроля и Управления экономической защиты.

===== 4. Порядок ввода в эксплуатацию, хранения и использования носителей ключевой информации =====

==== 4.1. Порядок изготовления, учета и использования носителей ключевой информации ====

=== 4.2.1. Порядок изготовления и учета носителей ключевой информации ===

Персональный ключевой носитель (чаще всего - дискета) обычно изготавливается в центре управления ключевыми системами (ЦУКС). Если ЦУКС обслуживается сторонней организацией, то ключевые дискеты получаются сотрудником Отдела информационной безопасности или назначенным приказом по банку Уполномоченным абонентом СКЗИ. В случае, когда ключевые дискеты изготавливаются в Банке, то это осуществляется на основании заявки, подписанной руководителем подразделения пользователя НКИ.

Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном "АРМ генерации ключей", программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками управления информационных технологий в присутствии самого пользователя НКИ, маркируется, учитывается в "Журнале учета НКИ" и выдается ему под роспись. Оснащение "АРМ генерации ключей" должно гарантировать, что уникальная секретная ключевая информация исполнителя записывается только на его персональный носитель.

Для обеспечения возможности восстановления ключевой информации пользователя НКИ в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того чтобы при копировании с оригинала на рабочую копию ключевой дискеты ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на "АРМ генерации ключей".

Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по "Журналу учета НКИ"), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации - ключевая дискета (оригинал) или ключевая дискета (копия), фамилия, имя, отчество и подпись владельца-исполнителя.

=== 4.2.2. Порядок использования носителей ключевой информации ===

Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, согласно п.2.1., выдается персональный носитель ключевой информации (например, дискета), на который записана уникальная ключевая информация ("секретный ключ ЭЦП"), относящаяся к категории сведений ограниченного распространения.

Персональные ключевые дискеты (рабочие копии) пользователь должен хранить в специальном пенале, опечатанном личной печатью.

В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии - руководителем подразделения) или самим исполнителем (при наличии у него сейфа или металлического шкафа). Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения или исполнителя в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Оригиналы ключевых дискет исполнителей хранятся в Отделе информационной безопасности в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие оригиналов ключевых дискет в пеналах проверяется сотрудниками ОИБ при каждом вскрытии и опечатывании пенала.

Контроль за обеспечением безопасности технологии обработки электронных документов, в том числе за действиями пользователей НКИ, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками Отдела информационной безопасности.

"Открытые" ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС или УИТ в справочнике "открытых" ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.

===== 5. Права и обязанности пользователя носителей ключевой информации =====

==== 5.1. Права пользователя носителей ключевой информации ====

Пользователь НКИ должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.

Пользователь НКИ имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

Пользователь НКИ имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.

==== 5.2. Обязанности пользователя носителей ключевой информации ====

Пользователь НКИ, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.

Пользователь носителей ключевой информации обязан:

  * Лично присутствовать в при изготовлении своей ключевой информации (если ключи изготавливаются в ОИБ на "АРМ генерации ключей"), чтобы быть уверенным в том, что содержание его ключевых дискет (оригинала и копии) не компрометировано.
  * Под роспись в "Журнале учета НКИ" получить рабочую копию ключевой дискеты, убедиться, что она правильно маркирована и на ней установлена защита от записи. Зарегистрировать (учесть) их у ответственного за информационную безопасность своего подразделения, положить их в пенал, опечатать его своей личной печатью и передать пенал на хранение ответственному за информационную безопасность установленным порядком или убрать в свой сейф.
  * Использовать для работы только рабочую копию своей ключевой дискеты.
  * В случае хранения НКИ у ответственного за информационную безопасность подразделения, в начале рабочего дня получать, а в конце рабочего дня сдавать ответственному за информационную безопасность свою ключевую дискету. При первом вскрытии пенала, они оба обязаны убедиться в целостности и подлинности печати на пенале. Если печать на пенале нарушена, то дискета считается скомпрометированной.
  * В случае хранения персональной ключевой дискеты в сейфе исполнителя, доставать ключевую дискету из сейфа по необходимости и при первом вскрытии пенала убедиться в целостности и подлинности печати на пенале. Если печать на пенале нарушена, то дискета считается скомпрометированной.
  * КАТЕГОРИЧЕСКИ ЗАПРЕЩАЕТСЯ оставлять ключевую дискету в компьютере. После использования персональной ключевой дискеты для подписи или шифрования исполнитель должен убрать дискеты в сейф, а в случае хранения НКИ у ответственного за информационную безопасность подразделения, сдавать свою персональную ключевую дискету на временное хранение ответственному за информационную безопасность в подразделении.
  * По окончании рабочего дня убрать ключевую дискету в пенал, который должен быть опечатан и убран в сейф.
  * В случае порчи рабочей копии ключевой дискеты (например при ошибке чтения дискеты) исполнитель обязан передать ее уполномоченному сотруднику ОИБ, который должен в присутствии пользователя НКИ или ответственного за информационную безопасность подразделения сделать новую копию ключевой дискеты с имеющегося в ОИБ оригинала и выдать ее последнему взамен старой (испорченной) ключевой дискеты.
  * Испорченная рабочая копия ключевой дискеты должна быть уничтожена установленным порядком в присутствии исполнителя. Все эти действия должны быть зафиксированы в "Журнале учета НКИ".
==== 5.3. Пользователю носителей ключевой информации запрещается ====

  * оставлять персональную ключевую дискету без личного присмотра где бы то ни было;
  * передавать свою персональную ключевую дискету другим лицам (кроме как для хранения ответственному за информационную безопасность в опечатанном пенале);
  * делать неучтенные копии ключевой дискеты, распечатывать или переписывать с нее файлы на иной носитель информации (например, жесткий диск ПЭВМ), снимать с дискеты защиту от записи, вносить изменения в файлы, находящиеся на ключевой дискете;
  * использовать персональную ключевую дискету на заведомо неисправном дисководе и/или ПЭВМ;
  * подписывать своим персональным "секретным ключом ЭЦП" любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;
  * сообщать кому-либо вне работы, что он является владельцем "секретного ключа ЭЦП" для данного технологического процесса.
===== 6. Порядок действий при компрометации носителей ключевой информации =====

К событиям, связанным с компрометацией ключевой информации должны быть отнесены следующие события:

  * утрата ключевых дискет;
  * утрата ключевых дискет с последующим обнаружением;
  * увольнение сотрудников, имевших доступ к ключевой информации;
  * возникновение подозрений на утечку информации или ее искажения в системе связи;
  * нерасшифровывание входящих или исходящих сообщений у абонентов;
  * нарушение печати на сейфе или контейнере с ключевыми дискетами.
Первые три события должны трактоваться как безусловная компрометация действующих ключей ЭЦП. Три следующих события требуют специального рассмотрения в каждом конкретном случае. При компрометации ключей ЭЦП и шифрования Участника обмена электронными документами предусмотрены следующие мероприятия:

  * Участник обмена электронными документами немедленно:
    * прекращает передачу информации с использованием скомпрометированных ключей ЭЦП или шифрования;
    * сообщает о факте компрометации в Отдел информационной безопасности.
  * Сотрудник Отдела информационной безопасности на основании извещения Участника обмена ЭД исключает из электронной базы открытых ключей скомпрометированный ключ ЭЦП или исключает криптографический номер Участника обмена электронными документами из списка абонентов.
  * В случае крайней необходимости Участник обмена электронными документами после компрометации может продолжить работу на резервных ключах, о чем делается запись в "Журнале учета НКИ".
  * Участник обмена Электронными документами подает заявку на изготовление нового ключа и получает новые ключи ЭЦП и шифрования с регистрацией в "Журнале учета НКИ".
  * Производится обмен тестовыми сообщениями на новых ключах ЭЦП и шифрования.
===== 7. Обеспечение информационной безопасности при работе с носителями ключевой информации =====

Порядок размещения, специального оборудования, охраны и режима в помещениях, в которых находятся средства криптографической защиты и носители ключевой информации:

  * средства криптографической защиты для обслуживания носителей ключевой информации размещаются в помещениях Серверной Банка и Отдела информационной безопасности;
  * размещение, специальное оборудование и режим в помещениях, в которых размещены средства криптографической защиты и носители ключевой информации, обеспечивают безопасность информации, средств криптографической защиты и ключевой информации, сведение к минимуму возможности неконтролируемого доступа к средствам криптографической защиты, просмотра процедур работы со средствами криптографической защиты посторонними лицами;
  * порядок допуска в помещения определяется внутренней инструкцией, которая разработана с учетом специфики и условий функционирования Кредитной организации;
  * окна помещений оборудованы металлическими решетками и охранной сигнализацией, препятствующими несанкционированному доступу в помещения. В этих помещениях прочные входные двери, на которые установлены надежные замки;
  * для хранения ключевых дискет, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечены сейфами;
  * установленный порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны;
  * размещение и установка средств криптографической защиты осуществляется в соответствии с требованиями документации на средства криптографической защиты;
  * системные блоки ЭВМ с средствами криптографической защиты оборудованы средствами контроля их вскрытия.
Порядок обеспечения безопасности хранения ключевых дискет:

  * все ключи шифрования, ключи ЭЦП и инсталляционные дискеты берутся в Банке на поэкземплярный учет в выделенных для этих целей "Журнале учета НКИ" и "Журнале учета СКЗИ";
  * учет и хранение носителей ключей шифрования и инсталляционных дискет, непосредственная работа с ними поручается сотрудникам ОИБ или ответственным сотрудникам, назначенных приказом по Банку. На этих сотрудников возлагается персональная ответственность за сохранность ключей шифрования;
  * учет изготовленных для пользователей ключей шифрования, регистрация их выдачи для работы, возврата от пользователей и уничтожение ведется сотрудником ОИБ;
  * хранение ключей шифрования, ключей ЭЦП, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, непредусмотренное правилами пользования систем криптозащиты, применение;
  * наряду с этим предусмотрена возможность безопасного раздельного хранения рабочих и резервных ключей, предназначенных для использования в случае компрометации рабочих ключей в соответствии с правилами пользования средств криптографической защиты;
  * действующий закрытый ключ ЭЦП, записанный на магнитный носитель (дискету), должен хранится в личном, опечатываемом сейфе (контейнере) ответственного лица. Возможность копирования и несанкционированного использования ЭЦП посторонним лицом должна быть исключена;
  * резервный ключ ЭЦП должен хранится так же, как и действующий, но обязательно в отдельном опечатанном контейнере.
Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты и носителей ключевой информации:

  * к работе со средствами криптографической защиты и носителям ключевой информации допускаются только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования и эксплуатационную документацию по средствам криптографической защиты;
  * сотрудник должен иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.
Уничтожение ключевой информации и дискет:

  * уничтожение ключевой информации с дискет должно производиться путем двойного безусловного переформатирования дискеты командой ДОС "FORMAT A: /U";
  * уничтожение ключевой дискеты, пришедшей в негодность должно производиться путем расплавления на огне (сожжения) или измельчения гибкого магнитного диска, извлеченного из корпуса.
===== Приложение 1 - Журнал учета носителей ключевой информации =====
{{ :шаблоны:pic21.png?nolink |}}