====== Положение об организации ИБ при хранении, обработке и передаче по каналам связи информации с использованием СКЗИ ====== ===== 1. Аннотация ===== Целью разработки данного Положения является описание порядка работы со Средствами криптозащиты информации (СКЗИ) в "**ВАШ БАНК**" (далее Банк) в соответствии с действующим законодательством Российской Федерации по обязательной защите информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну (шифровальных средств), при ее обработке, хранении и передаче по каналам связи. Режим эксплуатации СКЗИ в Банке устанавливается в соответствии с "Требованиями к средствам криптографической защиты конфиденциальной информации" Государственной Технической Комиссии при Президенте РФ по уровню "КС1". ===== 2. Перечень сокращений ===== * **АП** - Абонентский пункт * **АРМ** - Автоматизированное рабочее место * **ЛВС** - Локально-вычислительная сеть * **НСД** - Несанкционированный доступ * **ОС** - Операционная система * **ПО** - Программное обеспечение * **ППП** - Пакет прикладных программ * **СЗИ** - Средства защиты информации * **СКЗИ** - Средства криптозащиты информации * **СРД** - Система разграничения доступа * **ЦРА** - Центр регистрации абонентов * **ЭВ** - Электронное взаимодействие * **ЭД** - Электронный документ * **ЭЦП** - Электронная цифровая подпись ===== 3. Термины и определения ===== **Электронный документ (ЭД)** - документ (электронный образ платежного или иного документа), достоверность которого обеспечивается комплексом мероприятий по защите информации. Идентификация ЭД обеспечивается средствами защиты на основе алгоритмов шифрования, электронной цифровой подписи и защиты от несанкционированного доступа и соблюдения установленного режима их использования. ЭД создается участником ЭВ на основе бумажного документа либо на основании другого электронного документа. Он представляет собой задокументированную совокупность данных, зафиксированных на материальном носителе (магнитном или бумажном) с реквизитами, позволяющими идентифицировать эту информацию и авторов документа. ЭД обрабатываются и хранятся в ЭВМ и могут передаваться по электронным каналам связи. **Электронная цифровая подпись (ЭЦП)** - это специальное по ГОСТ Р 34.10-2001 криптографическое средство обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, реализованное в виде функций ЭВ. Средства ЭЦП обеспечивают формирование подписи электронного документа и пакета документов (файла) при его подготовке и передаче, а также проверку наличия и не искаженности подписи при приеме ЭД (пакетов ЭД), квитанций и обработке документов. Электронная цифровая подпись жестко увязывает в одно целое содержание документа и идентификатор подписывающего (секретный ключ) и делает невозможным изменение документа без нарушения подлинности данной подписи. **Подлинность ЭД (пакета ЭД)** в ЭВ означает, что данный документ (экземпляр документа) создан без отступлений от принятой технологии. Электронный документ считается подлинным, если он был, с одной стороны, надлежащим образом оформлен, подписан и отправлен, а с другой - получен, проверен и принят. Свидетельством принятия документа является положительная квитанция о приеме ЭД. **Корректно подписанный ЭД** - электронный документ, при проверке подписей под которым средствами СКЗИ с использованием открытых ключей подписи абонентов ЭВ выдается результат "Документ признан подписанным корректно". **Целостность ЭД** означает, что после его создания и заверения подписью в его содержание не вносилось никаких изменений. **Авторство ЭД** - это принадлежность электронной подписи конкретному абоненту ЭВ. **Ключ хранения ключей** - ключ, самостоятельно изготавливаемый абонентом с использованием ПО СКЗИ и предназначенный для защиты ключевой информации абонента. Ключ хранения ключей хранится в виде файла на дискете, именуемой в дальнейшем "ключевая дискета". **Секретный (закрытый) ключ подписи** - ключ, самостоятельно изготавливаемый абонентом ЭВ с использованием ПО СКЗИ и предназначенный для формирования им электронной цифровой подписи электронных документов. **Открытый (публичный) ключ подписи** - ключ, автоматически формируемый при изготовлении абонентом ЭВ секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи электронного документа, сформированной данным абонентом ЭВ при подписывании ЭД. Открытый ключ считается принадлежащим абоненту, если он был сертифицирован (зарегистрирован) установленным порядком. **Ключ шифрования** - ключ, самостоятельно изготавливаемый абонентом с использованием ПО СКЗИ и предназначенный для закрытия ЭД Сторон при их передаче по каналам связи. **Шифрование** - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей. **Компрометация ключевой информации** - утрата, хищение, несанкционированное копирование или подозрение на копирование дискеты с ключом хранения или любые другие ситуации, при которых достоверно не известно, что произошло с носителем ключа. К компрометации ключевой информации также относится увольнение сотрудников, имевших доступ к ключевой информации. **Сертификация ключа** - процедура заверения (подписания) открытой части регистрируемого ключа электронной цифровой подписью. **Контрольная запись на открытые ключи** - бумажный документ (регистрационная карточка), подтверждающий принадлежность открытых ключей абоненту ЭВ, заверенный физической подписью владельца. **Пароль** - секретный реквизит субъекта доступа, используемый для его идентификации. **Хэш-функция** - определенный ГОСТ Р 34.11-94 математический алгоритм вычисления контрольной последовательности (контрольного значения) для файлов (ЭД, программного обеспечения, баз данных и т.д.) в целях обеспечения возможности проверки их целостности, и отображаемой в виде последовательности шестнадцатеричных кодов-дампов. **Конфиденциальная информация** - информация, доступ к которой ограничивается в соответствии с Законодательством Российской Федерации и требованиями внутренних документов Банка. **Защита информации** - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования информации, ее блокирования и т.п. **Безопасность информации** - состояние информации, информационных ресурсов и информационных систем, при котором с требуемой надежностью обеспечивается защита информации (данных) от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования и т.п. **Доступ к информации или ключам** - ознакомление с информацией, ее обработка (копирование, модификация и т.д.). **Правила разграничения доступа** - правила, регламентирующие права доступа субъектов доступа к объектам доступа. **Санкционированный доступ** - доступ, не нарушающий правила разграничения доступа. **Несанкционированный доступ к информации (НСД)** - доступ к информации, нарушающий правила разграничения доступа. **Защита от несанкционированного доступа (Защита от НСД**) - предотвращение или существенное затруднение несанкционированного доступа. **Идентификация** - процесс распознавания определенных субъектов или объектов Системы с помощью уникальных, воспроизводимых Системой параметров (имен, паролей или ключей). **Аутентификация** - Проверка соответствия источника информации или самой информации предъявленным идентификаторам и определение их подлинности. **Авторизация** - Предоставление субъектам определенных полномочий на выполнение некоторых действий при осуществлении электронных взаимодействий. **Система защиты информации от НСД (СЗИ НСД)** - комплекс организационных мер и программно-технических средств защиты от несанкционированного доступа. **Система разграничения доступа (СРД)** - система, задающая требуемый набор правил разграничения доступа и обеспечивающая их выполнение. **Комплекс средств защиты** - совокупность программных и технических средств для обеспечения защиты от несанкционированного доступа к информации. **Средство защиты от НСД** - Средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа. **Электронные взаимодействия (ЭВ)** – обмен электронными документами со сторонними организациями. **Внешний Участник ЭВ** – организации, участвующие в электронных взаимодействиях. //Внешние Участники ЭВ:// **Орган криптографической защиты** – организация, которая организует и обеспечивает, на основании договоров, криптографическую защиту конфиденциальной информации. **Участник криптографической защиты** – организация, которая использует схемы организации и средства СКЗИ разработанные Органом криптографической защиты. Внутренний Участник ЭВ – сотрудники Внешних Участников ЭВ, выполняющие определенные функции в процессе ЭВ. //Внутренние Участники ЭВ:// **Абоненты СКЗИ** - сотрудники организаций-Участников ЭВ, имеющие ключи подписи и/или шифрования. **Центр регистрации абонентов (ЦРА)** - подразделение Органа криптографической защиты, решающее задачи сертификации ключей абонентов. ЦРА заверяет подлинность открытых ключей всех Абонентов ЭВ (выполняет роль нотариуса) без ознакомления с секретными ключами пользователей и контролирует выполнение Участниками ЭВ правил обращения с ключами и других правил информационной безопасности. **Администратор ЦРА** - должностное лицо Органа криптографической защиты, допущенное к работе с секретными ключами ЦРА. **Уполномоченный абонент СКЗИ** – абонент Участника криптографической защиты, обладающий полномочиями по заверению своей электронной цифровой подписью заявок на регистрацию ключей других абонентов своей организации. **Абонентский пункт (АП)** – отдельное помещение для размещения комплекса технических и программных средств, предназначенных для электронных взаимодействий. **Автоматизированное рабочее место (АРМ)** – отдельное рабочее место для размещения комплекса технических и программных средств, предназначенных для электронных взаимодействий. **Администратор АРМ или АП** – абонент Участника криптографической защиты, уполномоченный подписывать отправляемые электронные документы. **Уполномоченный администратор АРМ или АП** – администратор Участника криптографической защиты, дополнительно наделенный полномочиями по заверению своей электронной цифровой подписью заявок на регистрацию ключей других администраторов. **Оператор, ответственный за прием и передачу ЭД** – абонент Участника криптографической защиты, обладающий ключами шифрования и осуществляющий операции по отправке и приему электронных документов. Сотрудник организации Участника криптографической защиты может совмещать функции Оператора и администратора АРМ или АП. **Администратор безопасности (администратор НСД)** – должностное лицо Участника криптографической защиты, ответственное за реализацию правил разграничения доступа к аппаратно-программным средствам и информации АРМ или АП. **Сеть конфиденциальной связи** – сеть обмена конфиденциальной информацией. **Оператор конфиденциальной связи** – организация, которая организует работу сетей обмена конфиденциальной информацией. ===== 4. Общие положения ===== 4.1. В электронных взаимодействиях (ЭВ), осуществляемых между Банком и сторонними организациями используются средства криптографической защиты информации сертифицированные ФСБ (ФАПСИ) СКЗИ ("Верба-О", "Верба-OW", "АРМ АБ-О", "МАГ-МЦИ", "Крипто-Си", "КриптоПро" и пр.), а также прикладные системы, построенные на их основе. 4.2. Организация ЭВ банка со сторонними организациями – Участниками ЭВ осуществляется по двум схемам: * Банк является Участником криптографической защиты, когда банк получает ПО СКЗИ у другого Участника ЭВ, проводит у него регистрацию ключей и ответственных исполнителей (участие в Системах АСБР, АСЭВ, НБКИ, ТаксКом, и т.п.); * Банк является Органом криптографической защиты, когда Банк выдает ПО СКЗИ другим Участникам ЭВ проводит регистрацию их ключей и ответственных исполнителей (регистрация пользователей в Системе "Клиент-банк"). Участник криптографической защиты не обязан получать какую-либо дополнительную лицензию Федеральной Службы безопасности (ФСБ) на право эксплуатации используемых в ЭВ СКЗИ. 4.3. В процессе эксплуатации СКЗИ Участник ЭВ обязуется: * обеспечить сохранность ПО СКЗИ; * не передавать ПО СКЗИ третьим лицам; * не проводить декомпиляции или модификации модулей ПО СКЗИ; * по требованию Органа криптографической защиты предоставлять возможность уполномоченным им лицам проводить проверку сохранности, обновление или уничтожение СКЗИ, включая их резервные копии; * обеспечить всеми доступными средствами соблюдение уполномоченными лицами пассивного Участника ЭВ перечисленных обязательств, в том числе и после увольнения уполномоченного лица из организации пассивного Участника ЭВ. 4.4. При обеспечении криптографической защиты информации при электронном взаимодействии используются СКЗИ с открытым распределением ключей. При этом каждый Владелец ключа ЭЦП имеет свои закрытые ключи ЭЦП, а также соответствующие им открытые ключи ЭЦП. Участники ЭВ обмениваются открытыми ключами ЭЦП. 4.5. Документом, подтверждающим принадлежность открытого ключа ЭЦП Владельцу ключа ЭЦП, является сертификат ключа ЭЦП. Сертификат ключа Участника ЭВ подписывается ответственным должностным лицом Участника ЭВ и заверяется печатью. Сертификат содержит все атрибуты открытого ключа и данные его владельца. 4.6. Для зашифровки ЭД программным обеспечением вырабатывается сеансовый ключ шифрования с использованием собственного закрытого ключа шифрования отправителя ЭД и открытого ключа шифрования получателя ЭД, для подписи ЭД необходим только собственный закрытый ключ подписи. Для расшифровки ЭД получателем ЭД используется открытый ключ шифрования отправителя ЭД и собственный закрытый ключ шифрования, для проверки корректности подписи электронного документа необходим только открытый ключ подписи владельца ЭЦП, подписавшего ЭД. Реализованные в СКЗИ алгоритмы шифрования и подписи гарантируют невозможность восстановления закрытых ключей подписи и шифрования отправителя ЭД по его открытым ключам. 4.7. Файлы запросов на сертификацию открытых ключей, выработанных пассивным Участником ЭВ, предоставляются в электронном виде Абонентом ЭВ в ЦРА Органу криптографической защиты для сертификации. При этом файлы запросов на сертификацию должны быть подписаны либо транспортным, либо действующим (сертифицированным) ключом ЭЦП Уполномоченного абонента ЭВ. ЦРА Участника ЭВ предоставляет Абоненту ЭВ файлы сертификатов открытых ключей ЭЦП. 4.8. Открытый ключ ЭЦП Владельца сертификата ключа ЭЦП Абонента ЭВ считается зарегистрированным в ЦРА с даты, проставленной ЦРА на распечатке сертификата ключа ЭЦП. 4.9. Открытый ключ Владельца сертификата ключа ЭЦП Участника ЭВ считается действующим в момент проверки ЭЦП при одновременном выполнении следующих условий: * сертификат ключа ЭЦП зарегистрирован в ЦРА; * срок действия сертификата ключа ЭЦП не истек; * действие сертификата ключа ЭЦП не отменено. 4.10. Для отмены действия открытого ключа ЭЦП Владельца сертификата ключа ЭЦП Абонента ЭВ Участник ЭД передает в ЦРА письменное уведомление об отмене действия этого сертификата этого ЭЦП. 4.11. Открытый ключ ЭЦП Владельца сертификата ключа ЭЦП Абонента ЭВ считается отмененным с момента регистрации в ЦРА уведомления об отмене действия сертификата ключа ЭЦП. 4.12. Открытый ключ ЭЦП Владельца сертификата ключа ЭЦП Абонента ЭВ может быть временно заблокирован по просьбе Участника ЭВ. Владелец сертификата ключа ЭЦП или другое должностное лицо пассивного Участника ЭВ по телефону, факсу, электронной почте или иным способом отправляет уведомление о блокировке открытого ключа, при условии, что ЦРА Органа криптографической защиты имеет возможность установить, что просьба исходит от пассивного Участника ЭВ. 4.13. Открытый ключ ЭЦП Владельца сертификата ключа ЭЦП Абонента ЭВ может быть временно заблокирован ЦРА по собственной инициативе в случае возникновения подозрений в его компрометации 4.14. ЦРА обеспечивает хранение сертификатов ключей ЭЦП Участника ЭВ в течение времени хранения ЭД, подписанных Участником ЭВ при помощи соответствующих закрытых ключей ЭЦП. 4.15. Генерация ключей производится лично Владельцем сертификата ключа ЭЦП Участника ЭВ на Специализированном АРМ или в АП Участника ЭВ. Участник ЭВ обязан обеспечить конфиденциальность при изготовлении закрытых ключей ЭЦП Владельцам сертификатов ключей ЭЦП Участника ЭВ. 4.16. Компрометацией ключей называется нарушение режима хранения и использования ключевой дискеты, повлекшее доступ к ключевой дискете посторонних лиц, либо возникновение условий, при которых такой доступ был возможен (даже если сам факт доступа не выявлен). Решение о компрометации или подозрении на компрометацию ключей принимается владельцем ключа, а также может быть принято Администратором ЦРА на основании: * соответствующих заявлений владельца ключа; * проверки соблюдения владельцем ключа правил хранения ключей; * анализа подписанных от имени владельца ключа электронных документов и другой информации; * результатов разбора спорных ситуаций. В этом случае Администратор ЦРА немедленно уведомляет владельца ключа о принятом решении. В случае потери, кражи, несанкционированного копирования или любого подозрения в компрометации ключевой дискеты Абонента ЭВ Участник криптографической защиты должен немедленно по сети, факсу, телефону или любым иным способом оповестить о данном факте Орган криптографической защиты, прислав в течение рабочего дня, подтверждение в письменной форме или файл-заявку на блокирование ключей. При компрометации или подозрении на компрометацию ключевой информации Абонента ЭВ Участника криптографической защиты работа данного Абонента должна быть приостановлена, о чем немедленно уведомляются Администратор ЦРА и Администратор АП или АРМ Участника КЗ. Работа данного Абонента в системе ЭВ возобновляется только после ввода в действие его новых ключей. Для обеспечения работоспособности АП или АРМ Участника КЗ в период смены скомпрометированных ключей должны использоваться ключи других Абонентов Участника КЗ. По факту компрометации ключей проводится служебное расследование по установлению и дальнейшему устранению причин, приведших к компрометации ключей. ===== 5. Порядок работы с СКЗИ ===== ==== 5.1. Первичная выдача программных компонентов СКЗИ ==== 5.1.1. Участник криптографической защиты определяет количество ЭЦП, необходимое для заверения каждого своего электронного документа, в заявке на подключение к СКЗИ. Список владельцев сертификатов ключей ЭЦП составляется Участником криптографической защиты с учетом выбранного варианта заверения электронных документов. 5.1.2. Орган криптографической защиты в соответствии со Списком владельцев сертификатов ключей ЭЦП изготавливает для каждого Владельца сертификата ключа ЭЦП Участника ЭВ транспортные ключи ЭЦП и передает их Участнику криптографической защиты вместе с ПО СКЗИ. 5.1.3. Инсталляция ПО СКЗИ производится Участником криптографической защиты самостоятельно в соответствии с передаваемой ему документацией. ==== 5.2. Генерация и регистрация криптографических ключей Участника криптографической защиты осуществляется в следующей последовательности ==== 5.2.1. Участник криптографической защиты: * самостоятельно с помощью процедуры автоматической перегенерации ключей ЭЦП ПО СКЗИ создает на ключевом носителе закрытый и открытый ключи ЭЦП, и формирует запрос на сертификат ключа ЭЦП, при этом Участник КЗ контролирует правильность заполнения полей запроса на сертификат ключа ЭЦП (город, организация, ФИО и подразделение сотрудника, уполномоченного ставить ЭЦП под электронными документами от имени Участника КЗ); * передает запрос на сертификат ключа ЭЦП в Орган криптографической защиты по каналам связи, заверенного ЭЦП, сформированной на транспортных ключах ЭЦП. 5.2.2. Орган криптографической защиты: * принимает запрос на сертификат ключа ЭЦП (регистрации подлежат только те запросы, которые содержат наименование организации и ФИО сотрудника, уполномоченного ставить ЭЦП под электронными документами от имени Участника КЗ); * на основе полученного запроса на сертификат формирует сертификат ключа ЭЦП Владельца сертификата ключа ЭЦП Участника КЗ; * передает Владельцу сертификата ключа ЭЦП Участника КЗ сертификат ключа ЭЦП в виде файла с использованием каналов связи. 5.2.3. Участник криптографической защиты: * получает сертификат ключа ЭЦП; * распечатывает два экземпляра сертификата ключа ЭЦП Владельца сертификата ключа ЭЦП Участника КЗ на бумажном носителе, заверяет оба экземпляра распечатки сертификата ключа ЭЦП подписями (своей и уполномоченных лиц Участника КЗ) и скрепляет печатью; * передает два заверенных экземпляра распечатки сертификата ключа ЭЦП в Орган криптографической защиты. 5.2.4. Орган криптографической защиты: * принимает оформленные сертификаты ключа ЭЦП у Участника ЭВ на бумажном носителе; * проверяет содержание распечаток сертификата ключа ЭЦП на соответствие выпущенному Банком сертификату ключа ЭЦП; * в случае положительного результата проверки заверяет оба экземпляра распечатки сертификата ключа ЭЦП Владельца сертификата ключа ЭЦП Участника КЗ подписью и скрепляет печатью; * регистрирует сертификат ключа ЭЦП Владельца сертификата ключа ЭЦП Участника КЗ, проставляя на распечатке сертификата ключа ЭЦП дату регистрации; * передает один экземпляр распечатки сертификата ключа ЭЦП Владельцу сертификата ключа ЭЦП Участника КЗ. 5.2.5. Участник криптографической защиты: * проводит тестовый сеанс связи сообщением свободного формата с Органом криптографической защиты. ==== 5.3. Проведение смены криптографических ключей ==== 5.3.1. Внеплановая смена криптографических ключей в ЭВ производится по желанию Участника криптографической защиты, или при компрометации ключей, или смене владельца сертификата ключа ЭЦП. 5.3.2. К моменту завершения срока действия ключей Участник криптографической защиты должен произвести генерацию и сертификацию новых ключей. Для этого он должен выполнить все пункты раздела 5.2. настоящего Положения, за исключением получения и установки комплекта ПО СКЗИ. 5.3.3. При смене ключей дата и время ввода новых ключей определяется Органом криптографической защиты и согласуется с Участником криптографической защиты. 5.3.4. При вводе в действие новых ключей старые сертификаты ключей ЭЦП отзываются и обновляются справочники сертификатов ключей ЭЦП. 5.3.5. После ввода новых ключей Участник криптографической защиты обязан провести тестовый сеанс связи сообщением свободного формата с Органом криптографической защиты. 5.3.6. Закрытые ключи ЭЦП после вывода из действия должны быть уничтожены. 5.3.7. В случае несоблюдения Участником криптографической защиты порядка, предусмотренного в данном разделе, ответственность за возможные убытки, связанные с этим, несет Участник криптографической защиты. ==== 5.4. Проведение технической экспертизы при разрешении конфликтных ситуаций ==== 5.4.1. В случае возникновения конфликтной ситуации при применении электронной цифровой подписи, такая ситуация подлежит разрешению в порядке, установленном данным Положением с учетом особенностей, установленных настоящим Положением. 5.4.2. Проведение технической экспертизы при разрешении подобных конфликтных ситуаций в соответствии с особенностями электронной цифровой подписи требует применения специального программного обеспечения, предназначенного для выполнения необходимых проверок и документирования данных, используемых при выполнении необходимых проверок. 5.4.3. Проведение технической экспертизы заключается в доказательстве того, что: * конкретный электронный документ подписан конкретной ЭЦП; * ЭЦП принадлежит Участнику криптографической защиты; * ЭЦП верна. 5.4.4. Для проведения технической экспертизы необходимы: * оформленный в установленном порядке сертификат ключа ЭЦП Стороны, подписавшей электронный документ, в отношении которого возникла конфликтная ситуация; * файл электронного документа без ЭЦП, в отношении которого возникла конфликтная ситуация, а также файл, содержащий ЭЦП под этим электронным документом; * эталонный экземпляр программного обеспечения разбора конфликтных ситуаций. 5.4.5. Для проведения технической экспертизы необходимо выполнить следующие действия: * вручную сформировать файл сертификата стороны, подписавшей электронный документ, используя представленный в комиссию сертификат ключа ЭЦП (допускается выполнение посимвольной сверки файла сертификата с данными сертификата); * с помощью специализированной программы произвести операцию проверки ЭЦП электронного документа, в отношении которого возникла конфликтная ситуация, с использованием сформированного сертификата ключа ЭЦП; * распечатать протокол проверки ЭЦП. 5.4.6. Факт идентификации владельца ЭЦП, подписавшего электронный документ, считается установленным, если совпадают цифровые данные для открытого ключа ЭЦП из представленного Стороной сертификата ключа ЭЦП и файла сертификата ключа ЭЦП и в протоколе проверки подписи сформирована запись "Подпись подтверждена". Протокол проверки подписи является основанием для выводов комиссии и составной частью Акта о работе комиссии, который подписывается всеми ее членами. ==== 5.5. Мероприятия при компрометации ключей ==== 5.5.1. В случае компрометации ключей Абонента Органа криптографической защиты. При принятии решения о компрометации ключей ЦРА администратор ЦРА немедленно информирует Участника КЗ о факте компрометации своих ключей. Получив сообщение о факте компрометации ключей ЦРА, все абоненты Участника КЗ прекращают обработку поступающих групповых сертификатов. Администратор ЦРА осуществляет мероприятия по экстренной смене своих ключей: * Блокирует свои действующие ключи и формирует новые; * Формирует новые базовый сертификат и стоп-лист, а также для каждого зарегистрированного абонента формирует заверенный на новом ключе групповой сертификат его действующих ключей и действующих ключей АП или АРМ Участника КЗ; * Передает сформированные файлы Участнику КЗ; * Распечатывает, подписывает собственной подписью и заверяет печатью контрольную запись на новый ключ ЦРА; * Передает уполномоченному абоненту Участника КЗ новые базовый сертификат и стоп-лист, контрольную запись новых ключей ЦРА, а также новые групповые сертификаты ключей всех абонентов Органа КЗ. * Администратор АП или АРМ Участника КЗ обрабатывает полученные из ЦРА файлы обрабатывает базовый сертификат ЦРА (при этом удостоверяется в совпадении открытого ключа ЦРА с контрольной записью), вводит в действие новый стоп-лист, обрабатывает файлы групповых сертификатов, тем самым добавляя содержащиеся в них сертификаты в свою таблицу открытых ключей. Уполномоченный абонент Участника КЗ обрабатывает полученные файлы: * Обрабатывает базовый сертификат ЦРА (при этом удостоверяется в совпадении открытого ключа ЦРА с контрольной записью), вводит в действие новый стоп-лист; * Сохраняет полученную в ЦРА контрольную запись в архиве; * Обрабатывает файлы группового сертификата, тем самым добавляя новые сертификаты в свою таблицу открытых ключей; * Распечатывает, заверяет своей подписью и передает другим абонентам Участника КЗ контрольные записи на новый ключ ЦРА; * Передает всем абонентам Участника КЗ файлы базового сертификата, стоп-листа и групповых сертификатов. Каждый абонент Участника КЗ обрабатывает полученные файлы: * Обрабатывает базовый сертификат ЦРА (при этом удостоверяется в совпадении открытого ключа ЦРА с контрольной записью), вводит в действие новый стоп-лист; * Сохраняет полученную у уполномоченного абонента контрольную запись в архиве; * Обрабатывает файлы группового сертификата, тем самым добавляя новые сертификаты в свою таблицу открытых ключей. По завершении процедуры обработки полученных в ЦРА файлов всеми абонентами Участника КЗ работа с получаемыми групповыми сертификатами возобновляется в обычном режиме. * конкретный электронный документ подписан конкретной ЭЦП; * ЭЦП принадлежит Участнику криптографической защиты; * ЭЦП верна. 5.5.2. В случае компрометации ключей Абонента Участника криптографической защиты. После принятия решения о компрометации ключей Администратор ЦРА выводит скомпрометированные ключи из действия: * Блокирует скомпрометированные ключи в базе регистрации абонентов, формирует новый стоп-лист; * Передает сформированный стоп-лист на АП или АРМ Участника КЗ; * Информирует Участника КЗ о принятом решении, блокировании ключей его абонента и необходимости экстренной смены этих ключей. * Администратор АП или АРМ Участника КЗ немедленно вводит в действие полученный из ЦРА стоп-лист. Абонент Участника КЗ – владелец скомпрометированных ключей осуществляет мероприятия по генерации новых ключей: * Извлекает из архива контрольную запись на первичный ключ ЦРА; * Создает новые ключи по варианту "Смена ключей после компрометации", при этом удостоверяется в подлинности содержащегося в таблице открытых ключей первичного ключа ЦРА путем его сравнения с контрольной записью, распечатывает контрольную запись на созданные ключи; * Доставляет уполномоченному абоненту Участника КЗ на транспортном магнитном носителе сформированный файл групповой заявки на регистрацию открытых ключей и распечатанную контрольную запись на них. Уполномоченный абонент Участника КЗ заверяет заявку на регистрацию новых ключей: * Проверяет правильность оформления заявки; * Формирует и распечатывает контрольную запись на регистрируемый открытый ключ подписи; * Совместно с владельцем ключа сверяет распечатанную контрольную запись на открытые ключи с контрольной записью, подготовленной при формировании ключей. Получает от владельца ключа его собственноручную подпись распечатанной контрольной записи открытых ключей, сохраняет эту контрольную запись в архиве; * Заверяет заявку на регистрацию ключей своей электронной цифровой подписью, пересылает ее в ЦРА в электронном виде по каналам связи. Администратор ЦРА обрабатывает заявку на регистрацию ключей абонента Участника КЗ: * Проверяет правильность оформления заявки на регистрацию открытых ключей; * Устанавливает сроки действия регистрируемых ключей; * Регистрирует ключи абонента Участника КЗ в базе регистрации абонентов; * Формирует и передает администратору АП или АРМ Участника КЗ групповой сертификат новых ключей абонента. Администратор АП или АРМ Участника КЗ, получив групповой сертификат новых ключей абонента, выполняет следующие действия: * Пересылает групповой сертификат на АП или АРМ; * Обрабатывает этот групповой сертификат, тем самым добавляя новые ключи абонента Участника КЗ в свою таблицу открытых ключей. * Абонент Участника КЗ, получив групповой сертификат новых ключей, обрабатывает его, тем самым добавляя новые ключи в свою таблицу открытых ключей. ===== 6. Требования по обеспечению информационной безопасности использования СКЗИ ===== Настоящие требования предъявляются к участникам ЭВ, осуществляющим эксплуатацию сертифицированных шифровальных средств на основании данного Положения и других внутренних документов Банка. Настоящие требования распространяются на СКЗИ, предназначенные для защиты информации, не содержащей сведений, составляющих государственную тайну, при обеспечении безопасности информации по уровню "С". ==== 6.1. Требования по организационному обеспечению безопасности СКЗИ ==== В Банке руководством должны быть выделены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ. Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены в специально разработанных документах, утвержденных руководством Банка, с учетом эксплуатационной документации на СКЗИ. ==== 6.2. Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ ==== 6.2.1. Размещение, специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и ключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами. 6.2.2. Порядок допуска в помещения определяется внутренней инструкцией, которая разрабатывается с учетом специфики и условий функционирования структуры Банка. 6.2.3. При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки. 6.2.4. Для хранения ключей, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей. Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством Банка. 6.2.5. Устанавливаемый Председателем Правления Банка порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны. 6.2.6. Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. 6.2.7. Системные блоки ПК с СКЗИ должны быть оборудованы средствами контроля их вскрытия. ==== 6.3. Требования по обеспечению безопасности ключей ==== 6.3.1. Все поступающие для использования ключи и инсталляционные дискеты должны браться в Банке на поэкземплярный учет в выделенных для этих целей журналах. 6.3.2. Учет и хранение носителей ключей и инсталляционных дискет, непосредственная работа с ними поручается руководством Банка специально выделенным работникам организации. Эти работники несут персональную ответственность за сохранность ключей. 6.3.3. Учет изготовленных для внешних участников ЭВ ключей, регистрация их выдачи для работы, возврата от них и уничтожения ведется в Банке. 6.3.4. Хранение ключей, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение. Наряду с этим должна быть предусмотрена возможность раздельного безопасного хранения рабочих и резервных ключей, предназначенных для использования в случае компрометации рабочих ключей в соответствии с правилами пользования СКЗИ. 6.3.5. При пересылке ключей должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию. 6.3.6. В случае отсутствия у оператора СКЗИ индивидуального хранилища ключи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение. 6.3.7. Уполномоченными лицами периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов. ==== 6.4. Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) СКЗИ ==== 6.4.1. К работе с СКЗИ допускаются решением руководства Банка только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на персональном компьютере, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ. 6.4.2. Сотрудники, уполномоченные на руководство эксплуатацией шифровальных средств, должны иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации. ===== 7. Организация эксплуатации СКЗИ в банке ===== ==== 7.1. Ввод в эксплуатацию СКЗИ ==== Ввод в эксплуатацию СКЗИ оформляется актом (Приложение 1). Акт подписывают Начальник отдела информационной безопасности, Начальник Управления информационных технологий и представитель Управления экономической защиты. К Акту о вводе в эксплуатацию СКЗИ прилагается Формуляр рабочего места СКЗИ (Приложение 2). В Формуляре ведется поэкземплярный учет используемого или хранимого СКЗИ, эксплуатационная и техническая документация к ней, ключевые документы в соответствии с требованиями Положения ПКЗ-2005. На одном рабочем месте могут эксплуатироваться несколько СКЗИ, в этом случае на каждое СКЗИ оформляется отдельный Формуляр. Организация централизованного (количественного) поэкземплярного учета компонентов СКЗИ осуществляется Отделом информационной безопасности. Журнал поэкземплярного учета СКЗИ (Приложение 3) ведется в Отделе информационной безопасности. Программные СКЗИ учитываются совместно с аппаратными средствами, с которыми осуществляется их штатное функционирование. Единицей поэкземплярного учета ключевых документов считается ключевой носитель многократного использования. Если один и тот же ключевой носитель многократно используют для записи криптоключей, то его каждый раз следует регистрировать отдельно. Все полученные Банком экземпляры СКЗИ, эксплуатационной и технической документации к ним, ключевых документов должны быть выданы под расписку в соответствующем журнале поэкземплярного учета пользователям СКЗИ (сотрудникам УИТ и других подразделений), несущим персональную ответственность за их сохранность. Если эксплуатационной и технической документацией к СКЗИ предусмотрено применение разовых ключевых носителей или криптоключи вводят и хранят (на весь срок их действия) непосредственно в СКЗИ, то такой разовый ключевой носитель или электронная запись соответствующего криптоключа должны регистрироваться в техническом журнале (Приложение 4), ведущемся непосредственно пользователем СКЗИ. В техническом (аппаратном) журнале отражают также данные об эксплуатации СКЗИ и другие сведения, предусмотренные эксплуатационной и технической документацией. В иных случаях технический (аппаратный) журнал на СКЗИ не заводится (если нет прямых указаний о его ведении в эксплуатационной или технической документации к СКЗИ). Передача СКЗИ, эксплуатационной и технической документации к ним, ключевых документов допускается только между пользователями СКЗИ и (или) сотрудниками Банка под расписку в соответствующих журналах поэкземплярного учета. Такая передача между пользователями СКЗИ должна быть санкционирована Отделом информационной безопасности. ==== 7.2. Эксплуатация СКЗИ ==== Ответственные за эксплуатацию СКЗИ сотрудники назначаются приказом по Банку, копия приказа прилагается к Формуляру СКЗИ. СКЗИ эксплуатируются в соответствии с правилами пользования ими. Все изменения условий использования СКЗИ, указанных в правилах пользования ими, должны согласовываться с Отделом информационной безопасности. Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение. Пользователи СКЗИ предусматривают также раздельное безопасное хранение действующих и резервных ключевых документов, предназначенных для применения в случае компрометации действующих криптоключей. Аппаратные средства, с которыми осуществляется штатное функционирование СКЗИ, а также аппаратные и аппаратно-программные СКЗИ должны быть оборудованы средствами контроля за их вскрытием (опечатаны, опломбированы). Место опечатывания (опломбирования) СКЗИ, аппаратных средств должно быть таким, чтобы его можно было визуально контролировать. ==== 7.3. Вывод из эксплуатации СКЗИ ==== Вывод из эксплуатации СКЗИ оформляется актом (Приложение 5). Акт подписывают Начальник отдела информационной безопасности, Начальник Управления информационных технологий и представитель Управления экономической защиты. Неиспользованные или выведенные из действия ключевые документы подлежат возвращению в Отдел информационной безопасности или по его указанию должны быть уничтожены на месте. Уничтожение криптоключей (исходной ключевой информации) может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) криптоключей (исходной ключевой информации) без повреждения ключевого носителя (для обеспечения возможности его многократного использования). Криптоключи (исходную ключевую информацию) стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, компакт-дисков (CD-ROM), Data Key, Smart Card, Touch Memory и т.п.). Непосредственные действия по стиранию криптоключей (исходной ключевой информации), а также возможные ограничения на дальнейшее применение соответствующих ключевых носителей многократного использования регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации). Ключевые носители уничтожают путем нанесения им неустранимого физического повреждения, исключающего возможность их использования, а также восстановления ключевой информации. Непосредственные действия по уничтожению конкретного типа ключевого носителя регламентируются эксплуатационной и технической документацией к соответствующим СКЗИ, а также указаниями организации, производившей запись криптоключей (исходной ключевой информации). СКЗИ уничтожают (утилизируют) в соответствии с требованиями Положения ПКЗ-2005 по решению обладателя конфиденциальной информации, владеющего СКЗИ, и по согласованию с Отделом информационной безопасности. Намеченные к уничтожению (утилизации) СКЗИ подлежат изъятию из аппаратных средств, с которыми они функционировали. При этом СКЗИ считаются изъятыми из аппаратных средств, если исполнена предусмотренная эксплуатационной и технической документацией к СКЗИ процедура удаления программного обеспечения СКЗИ и они полностью отсоединены от аппаратных средств. Пригодные для дальнейшего использования узлы и детали аппаратных средств общего назначения, не предназначенные специально для аппаратной реализации криптографических алгоритмов или иных функций СКЗИ, а также совместно работающее с СКЗИ оборудование (мониторы, принтеры, сканеры, клавиатура и т.п.) разрешается использовать после уничтожения СКЗИ без ограничений. При этом информация, которая может оставаться в устройствах памяти оборудования (например, в принтерах, сканерах), должна быть надежно удалена (стерта). Ключевые документы должны быть уничтожены в сроки, указанные в эксплуатационной и технической документации к соответствующим СКЗИ. Если срок уничтожения эксплуатационной и технической документацией не установлен, то ключевые документы должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется в соответствующих журналах поэкземплярного учета. В эти же сроки с отметкой в техническом журнале подлежат уничтожению разовые ключевые носители и ранее введенная и хранящаяся в СКЗИ или иных дополнительных устройствах ключевая информация, соответствующая выведенным из действия криптоключам; хранящиеся в криптографически защищенном виде данные следует перешифровать на новых криптоключах. Разовые ключевые носители, а также электронные записи ключевой информации, соответствующей выведенным из действия криптоключам, непосредственно в СКЗИ или иных дополнительных устройствах уничтожаются пользователями этих СКЗИ самостоятельно под расписку в техническом журнале. Ключевые документы уничтожаются либо пользователями СКЗИ, либо сотрудниками Отдела информационной безопасности под расписку в соответствующих журналах поэкземплярного учета, а уничтожение большого объема ключевых документов может быть оформлено актом. Уничтожение по акту производит комиссия в составе не менее двух человек из числа сотрудников Отдела информационной безопасности и Управления информационных технологий. В акте указывается, что уничтожается и в каком количестве. В конце акта делается итоговая запись (цифрами и прописью) о количестве наименований и экземпляров уничтожаемых ключевых документов, инсталлирующих СКЗИ носителей, эксплуатационной и технической документации. Исправления в тексте акта должны быть оговорены и заверены подписями всех членов комиссии, принимавших участие в уничтожении. О проведенном уничтожении делаются отметки в соответствующих журналах поэкземплярного учета. ==== 7.4. Контроль за эксплуатацией СКЗИ ==== Контроль за организацией и обеспечением эксплуатации СКЗИ осуществляет Отдел информационной безопасности и Служба внутреннего контроля. В ходе контроля изучаются и оцениваются: выполнение требований по информационной безопасности к эксплуатации СКЗИ; уровень информационной безопасности при использовании СКЗИ; условия использования СКЗИ. В целях координации контроля Отдел информационной безопасности и Служба внутреннего контроля могут планировать и проводить проверки, для чего приказом по Банку создаются комиссии. По результатам проверки составляется подробный акт. С актом проверки должно быть ознакомлено руководство проверяемых лиц и руководство Банка. Если в ходе проверки выявлены нарушения требований и условий эксплуатации СКЗИ, то совместно с пользователями СКЗИ вырабатываются меры по устранению этих недостатков, исполнители и сроки их исполнения. Сообщения о принятых мерах должны быть представлены в установленные проверяющими сроки. При необходимости может быть составлен план мероприятий, где предусматривается решение соответствующих вопросов. Отдел информационной безопасности должен обобщать результаты всех видов контроля, анализировать причины выявленных недостатков, разрабатывать меры по их профилактике, контролировать выполнение рекомендаций, содержащихся в актах проверок. Если в использовании СКЗИ выявлены серьезные нарушения, из-за чего становится реальной угроза информационной безопасности, то комиссия или Отдел информационной безопасности вправе дать указание о немедленном прекращении использования СКЗИ до устранения причин выявленных нарушений. ===== 8. Права и обязанности участников эксплуатации СКЗИ ===== ==== 8.1. Права и обязанности сотрудников ОИБ ==== Отдел информационной безопасности осуществляет: * проверку готовности обладателей конфиденциальной информации к самостоятельному использованию СКЗИ и составление заключений о возможности эксплуатации СКЗИ (с указанием типа и номеров используемых СКЗИ, номеров аппаратных, программных и аппаратно-программных средств, где установлены или к которым подключены СКЗИ, с указанием также номеров печатей (пломбиров), которыми опечатаны (опломбированы) технические средства, включая СКЗИ, и результатов проверки функционирования СКЗИ); * разработку мероприятий по обеспечению функционирования и безопасности применяемых СКЗИ в соответствии с условиями выданных на них сертификатов, а также в соответствии с эксплуатационной и технической документацией к этим средствам; * обучение лиц, использующих СКЗИ, правилам работы с ними; * поэкземплярный учет используемых СКЗИ, эксплуатационной и технической документации к ним; * учет обслуживаемых обладателей конфиденциальной информации, а также физических лиц, непосредственно допущенных к работе с СКЗИ; * контроль за соблюдением условий использования СКЗИ, установленных эксплуатационной и технической документацией к СКЗИ, сертификатом ФАПСИ и настоящим Положением; * расследование и составление заключений по фактам нарушения условий использования СКЗИ, которые могут привести к снижению уровня защиты конфиденциальной информации; разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений; * разработку схемы организации криптографической защиты конфиденциальной информации; * протоколирование всех случаев и попыток нарушения безопасности рабочего места с установленной СКЗИ. При возникновении таких случаев принимать все возможные меры для предотвращения и/или ликвидации их последствий вплоть до приостановления функционирования СКЗИ; * в случае компрометации криптографических ключей пользователя СКЗИ блокировку открытых криптографических ключей пользователя СКЗИ до завершения внеплановой смены криптографических ключей. ==== 8.2. Права и обязанности сотрудников УИТ ==== Управление информационных технологий осуществляет: * подготовку программных и аппаратно-программных средств, где должны быть установлены СКЗИ; * установку, настройку и ввод в эксплуатацию СКЗИ; * подачу заявок в орган криптографической защиты на изготовление ключевых документов или исходной ключевой информации. Изготовление из исходной ключевой информации ключевых документов, их распределение, рассылку и учет; * вывод из эксплуатации СКЗИ; * обеспечивать сохранность и конфиденциальность информации, доверенной ему в ходе практической деятельности в рамках настоящего Положения, в соответствии с действующим законодательством. 8.3. Права и обязанности пользователей ключевых носителей СКЗИ Сотрудники Банка, пользователи ключевых носителей СКЗИ обязаны: * соблюдать положения документов, регламентирующих функционирование; * сохранять конфиденциальность и подлинность используемых секретных ключей и паролей; * не разглашать конфиденциальную информацию, к которой они допущены, рубежи ее защиты, в том числе сведения о криптоключах; * соблюдать требования к обеспечению безопасности конфиденциальной информации с использованием СКЗИ; * сообщать в Отдел информационной безопасности о ставших им известными попытках посторонних лиц получить сведения об используемых СКЗИ или ключевых документах к ним; * сдать СКЗИ, эксплуатационную и техническую документацию к ним, ключевые документы в соответствии с порядком, установленным настоящим Положением, при увольнении или отстранении от исполнения обязанностей, связанных с использованием СКЗИ; * немедленно уведомлять Отдел информационной безопасности о фактах утраты или недостачи СКЗИ, ключевых документов к ним, ключей от помещений, хранилищ, личных печатей и о других фактах, которые могут привести к разглашению защищаемых сведений конфиденциального характера, а также о причинах и условиях возможной утечки таких сведений. ===== 9. Ответственность ===== На сотрудников Отдела информационной безопасности возлагается персональная ответственность за: * за некачественное проведение ими работ по обеспечению защиты информации в соответствии с функциональными обязанностями, определенными настоящим Положением, а также Гражданским и Трудовым Законодательством. На сотрудников Управления информационных технологий возлагается персональная ответственность за: * за некачественное проведение ими работ по обеспечению оборудования, где установлены или на которых используются СКЗИ. На пользователя СКЗИ возлагается персональная ответственность за: * несоблюдение регламента эксплуатации средств криптографической защиты информации; * несохранность и несоблюдение конфиденциальности имеющихся у него секретных криптографических ключей. ===== Приложение 1 - Акт ввода в эксплуатацию СКЗИ ===== {{ :шаблоны:pic26.png?nolink |}} ===== Приложение 2 - Формуляр рабочего места СКЗИ ===== {{ :шаблоны:pic27.png?nolink |}} ===== Приложение 3 - Журнал учета СКЗИ ===== {{ :шаблоны:pic28.png?nolink |}} ===== Приложение 4 - Технический журнал СКЗИ ===== {{ :шаблоны:pic29.png?nolink |}} ===== Приложение 5 - Акт вывода из эксплуатации СКЗИ ===== {{ :шаблоны:pic30.png?nolink |}} ===== Приложение 6 - Инструкция по работе на рабочих местах, на которых эксплуатируются СКЗИ ===== Рабочее место для работы со средствами криптографической защиты информации (СКЗИ) для обеспечения целостности, авторства и конфиденциальности информации, передаваемой в рамках информационной системы. Порядок обеспечения информационной безопасности при работе с СКЗИ определяется на основе рекомендаций по организационно-техническим мерам защиты, изложенных в основных нормативных актах (Приказ ФАПСИ № 152 от 13 июня 2001 г., Приказ ФСБ России №66 от 9 февраля 2005 г.), данном разделе и эксплуатационной документации на СКЗИ. **ОБЯЗАТЕЛЬНЫЕ ТРЕБОВАНИЯ:** Установка и настройка СКЗИ на Рабочее место (РМ) должна выполняться в присутствии сотрудника Отдела информационной безопасности. Перед установкой необходимо проверить целостность программного обеспечения СКЗИ. Запрещается устанавливать СКЗИ, целостность которого нарушена. Порядок учета, хранения и использования носителей ключевой информации с закрытыми ключами ЭЦП и шифрования регламентируется положением "Об учете, хранении и использовании носителей ключевой информации (НКИ)". Список лиц, имеющих доступ к ключевой информации, утверждается приказом по Банку. Для хранения носителей закрытых ключей ЭЦП и шифрования в помещениях должны устанавливаться надежные металлические хранилища (сейфы), оборудованные надежными запирающими устройствами с двумя экземплярами ключей (один у исполнителя, другой в службе безопасности). Использовать РМ со встроенными средствами криптографической защиты в однопользовательском режиме. В отдельных случаях, при необходимости использования РМ несколькими лицами, эти лица должны обладать равными правами доступа к информации. При загрузке операционной системы и при возвращении после временного отсутствия пользователя на рабочем месте должен запрашиваться пароль, состоящий не менее чем из 6 символов. В отдельных случаях при невозможности использования парольной защиты, допускается загрузка ОС без запроса пароля. При этом должны быть реализованы дополнительные организационно-режимные меры, исключающие несанкционированный доступ к этим РМ. Должны быть приняты меры по исключению несанкционированного доступа в помещения, в которых установлены технические средства РМ со встроенными СКЗИ. Должны быть предусмотрены меры, исключающие возможность несанкционированного изменения аппаратной части рабочей станции с установленными СКЗИ. Установленное на РМ программное обеспечение не должно содержать средств разработки и отладки приложений, а также средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам. Администрирование должно осуществляться доверенными лицами. Средствами BIOS исключить возможность сетевой загрузки ОС рабочей станции. Средствами BIOS исключать возможность работы на ПЭВМ, если во время ее начальной загрузки не проходят встроенные тесты. Вхождение пользователей в режим конфигурировании BIOS штатными средствами BIOS должно осуществляться только с использованием парольной защиты при длине пароля не менее 6 символов. При использовании ОС Windows 98/МЕ/NT/2000/XP все пользователи рабочей станции должны иметь право доступа ко всей конфиденциальной информации, обрабатываемой на этой станции. При использовании ОС Windows NT/2000/XP принять меры, исключающие доступ пользователя к системному реестру. Ограничить либо исключить использование программного продукта Sсheduler (планировщик заданий), входящего в состав ОС Windows. При использовании Sсheduler состав запускаемого программного обеспечения на РМ согласовывается с администратором безопасности. При использовании ОС Windows NT/2000/XP исключить возможность удаленного редактирования системного реестра пользователями (исключая администратора). При использовании ОС Windows NT/2000/XP переименовать пользователя Administrator, отключить учетную запись для гостевого входа (Guest). В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭЦП и шифрования), должна быть проведена смена ключей, к которым он имел доступ. **ЗАПРЕЩЕНО:** Снимать несанкционированные копии с ключевых носителей. Знакомить с содержанием ключевых носителей или передавать ключевые носители лицам, к ним не допущенным. Выводить секретные ключи на дисплей (монитор) ПЭВМ или принтер. Устанавливать ключевой носитель в считывающее устройство (дисковод) ПЭВМ РМ, не предусмотренных функционированием системы, а также в другие ПЭВМ. Записывать на ключевой носитель постороннюю информацию. Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в журнале, который ведет лицо, ответственное за обеспечение информационной безопасности. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе "Контур-Экстерн" и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.