====== Положение об организации центра электронных взаимодействий ======
===== 1. Общие положения =====
Данное положение описывает организацию и работу Центра электронных взаимодействий на территории "**ВАША ОРГАНИЗАЦИЯ**". Центр электронных взаимодействий, в дальнейшем ЦЭВ, был создан в Организации в рамках договоров %%№________ от "___"__________ 20__года%% обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе АСБР-Москва, №________ от %%"___"__________ 20__года%% между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений и %%№________ от "___"__________ 20__года%% об оказании информационных услуг (предоставлении информации).

Список сторонних организаций, участников электронных взаимодействий, ведется в Журнале, форма которого приведена в Приложении 2 настоящего Положения. При изменении состава участников электронных взаимодействий запись об этом заноситься в данный Журнал сотрудниками Отдела информационной безопасности.

Центр электронных взаимодействий – это помещение, в котором осуществляется процесс электронных взаимодействий со сторонними организациями уполномоченными ответственными исполнителями, согласно утвержденным регламентам.

===== 2. Размещение ЦЭВ =====

Размещение, специальное оборудование и охрана помещения, в котором оборудован Центр электронных взаимодействий (ЦЭВ), обеспечивают невозможность неконтролируемого проникновения в эти помещения посторонних лиц.

Посторонние лица - лица не имеющие непосредственного отношения к обработке и передаче документальной информации на данном абонентском пункте.

На входные двери установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещение установлены автоматические электронные замки. Помещение оборудовано системой видеонаблюдения и по окончании рабочего дня опечатывается, а ключи сдаются под охрану.

Двери ЦЭВ должны быть постоянно закрыты на замок и могут открываться только для прохода уполномоченных сотрудников Организации.

Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей ЦЭВ оборудован сейфом, ключи от которого сдаются на охрану под роспись.

По окончании рабочего дня помещение ЦЭВ должно быть закрыто, тубус с ключами опечатан и сдан под роспись на охрану.

При утрате ключа от сейфа или от входной двери в помещение ЦЭВ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от сейфа переделать невозможно, то такой сейф необходимо заменить. Порядок хранения ключевых и других документов в сейфе, от которого утрачен ключ, до изменения секрета замка устанавливает Офицер информационной безопасности ЦЭВ.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещение ЦЭВ посторонних лиц, о случившемся должно быть немедленно сообщено Офицеру информационной безопасности ЦЭВ, в Управление экономической защиты и Отдел информационной безопасности. Прибывшие сотрудники Управления экономической защиты и Отдела информационной безопасности должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.

===== 3. Обеспечение информационной безопасности электронных взаимодействий =====

Технологический процесс электронных взаимодействий со сторонними организациями в ЦЭВ обеспечен методическими материалами и регламентами с учетом всех подразделений "ВАША ОРГАНИЗАЦИЯ", принимающих участие в этих взаимодействиях. Контроль за обеспечением безопасности технологии электронных взаимодействий осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств зашиты на этапах подготовки, обработки, передачи и хранения электронных документов Офицером информационной безопасности и начальником Отдела информационной безопасности.

В подразделениях, осуществляющих электронные взаимодействия, приказом по Организации назначены ответственные за выполнение требований по информационной безопасности – офицеры информационной безопасности.

Рабочее место абонентского пункта паспортизовано. Формуляр программного обеспечения прилагается (Приложение 1).

Установленное на рабочих местах ЦЭВ программное обеспечение (ПО) средств криптографической защиты и разграничения доступа охватывается контролем целостности путем вычисления значений хеш-функций соответствующих файлов.

Запрещается внесение несанкционированных изменений в технические и программные средства ЦЭВ, а также в их состав. Обеспечен непрерывный контроль целостности программного обеспечения путем записи и проверки результатов вычисления значений хеш-функции ПО.

Программные и программно-аппаратные средства защиты Центра электронных взаимодействий обеспечивают:

  * парольный вход;
  * проверку целостности программного и информационного обеспечения;
  * криптографическую защиту передаваемой информации;
  * регистрацию действий операторов автоматизированных рабочих мест в специальных журналах (лог-файлах), доступных, только Офицеру информационной безопасности и операторам ЦЭВ.
Перечень необходимых параметров регистрации включает в себя:

  * время входа (выхода) в систему и идентификатор пользователя;
  * факт обращения к ПО абонентского пункта;
  * факты попыток несанкционированного доступа;
  * информацию о сбоях и других нештатных ситуациях.
Порядок формирования и смены паролей должен удовлетворять требованиям Правилам надежной работы в ИБС "**ВАША ОРГАНИЗАЦИЯ**".

Порядок обращения с ключевыми дискетами, выработки ключевой информации определяется в соответствии с положением "Об учете, хранении и использовании носителей ключевой информации (НКИ)" и регламентами по эксплуатации применяемых систем криптографической защиты (СКЗИ), установленных в ЦЭВ. Учет, хранение и выработка ключевых документов организовано в отделе сопровождения электронных расчетов Офицером информационной безопасности.

ЦЭВ относится к 4-ой категории ЭВТ. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к нему не предъявляются.

===== 4. Требования к персоналу ЦЭВ =====

Пользователи, допускаемые к работе с электронными документами на специально выделенных для этого рабочих местах, назначаются приказом по Организации, с закреплением за каждым пользователем конкретной функции и полномочий, после изучения и проверки знаний правил эксплуатации и обеспечения безопасности. С пользователей берутся расписки о неразглашении и нераспространении конфиденциальной информации, секретных ключей и паролей, согласно "Положению о сведениях, составляющих конфиденциальную информацию в "**ВАША ОРГАНИЗАЦИЯ**" и основных мерах по организации ее защиты".

Пользователи, допускаемые к работе с электронными документами, регистрируются Офицером информационной безопасности в "Журнале учета сотрудников допущенных к участию в электронных взаимодействиях", с указанием выполняемых ими функций. Перед допуском уполномоченных сотрудников к работе Офицер информационной безопасности проводит первичный инструктаж на рабочем месте и проверяет знания сотрудника по вопросам информационной безопасности.

Лица, принимающие участие в обработке и обеспечении безопасности информации электронных платежных документов, подразделяются на следующие категории:

  * Офицер информационной безопасности, в функции которого входит регистрация пользователей, допущенных к работе в ЦЭВ, учет, хранение и выдачи ключевых дискет, контроль за выполнением требований безопасности, осуществляющий непосредственно выработку собственных ключей шифрования и личной электронной цифровой подписи, регистрацию открытых частей ключей у администратора ПРА, использование собственных действующих секретных ключей;
  * Оператор ЦЭВ, в функции которого входит осуществление внешних электронных взаимодействий, согласно утвержденным регламентам;
  * Участники электронных взаимодействий в ЦЭВ, в функции которых входит инициализация и контроль за электронными взаимодействиями;
  * Проверяющие работу ЦЭВ, в функции которых входят контроль за электронными взаимодействиями и соблюдением всех регламентов (сотрудники Управления экономической защиты и Отдела информационной безопасности).
===== Приложение 1 - Формуляр рабочего места оператора ЦЭВ =====
{{ :шаблоны:pic18.png?nolink |}}
===== Приложение 2 - Журнал учета сторонних организаций, участников электронных взаимодействий =====
{{ :шаблоны:pic19.png?nolink |}}
===== Приложение 3 - Журнал учета сотрудников, допущенных к участию в электронных взаимодействиях =====
{{ :шаблоны:pic20.png?nolink |}}