Положение об организации центра электронных взаимодействий (финансовые организации)

Материал из SecurityPolicy.ru

Перейти к: навигация, поиск

Содержание

[править] 1. Общие положения

Данное положение описывает организацию и работу Центра электронных взаимодействий на территории "ВАША ОРГАНИЗАЦИЯ". Центр электронных взаимодействий, в дальнейшем ЦЭВ, был создан в Организации в рамках договоров №________ от "___"__________ 20__года обмена электронными документами и оказания информационно-вычислительных услуг при многорейсовой обработке платежей в системе АСБР-Москва, №________ от "___"__________ 20__года между кредитной организацией и Банком России о передаче-приеме отчетности в виде электронных сообщений и №________ от "___"__________ 20__года об оказании информационных услуг (предоставлении информации).

Список сторонних организаций, участников электронных взаимодействий, ведется в Журнале, форма которого приведена в Приложении 2 настоящего Положения. При изменении состава участников электронных взаимодействий запись об этом заноситься в данный Журнал сотрудниками Отдела информационной безопасности.

Центр электронных взаимодействий – это помещение, в котором осуществляется процесс электронных взаимодействий со сторонними организациями уполномоченными ответственными исполнителями, согласно утвержденным регламентам.

[править] 2. Размещение ЦЭВ

Размещение, специальное оборудование и охрана помещения, в котором оборудован Центр электронных взаимодействий (ЦЭВ), обеспечивают невозможность неконтролируемого проникновения в эти помещения посторонних лиц.

Посторонние лица - лица не имеющие непосредственного отношения к обработке и передаче документальной информации на данном абонентском пункте.

На входные двери установлены замки, гарантирующие надежную защиту помещений в нерабочее время, а для контроля за входом в помещение установлены автоматические электронные замки. Помещение оборудовано системой видеонаблюдения и по окончании рабочего дня опечатывается, а ключи сдаются под охрану.

Двери ЦЭВ должны быть постоянно закрыты на замок и могут открываться только для прохода уполномоченных сотрудников Организации.

Для хранения ключевых документов, эксплуатационной и технической документации, инсталлирующих СКЗИ носителей ЦЭВ оборудован сейфом, ключи от которого сдаются на охрану под роспись.

По окончании рабочего дня помещение ЦЭВ должно быть закрыто, тубус с ключами опечатан и сдан под роспись на охрану.

При утрате ключа от сейфа или от входной двери в помещение ЦЭВ замок необходимо заменить или переделать его секрет с изготовлением к нему новых ключей с документальным оформлением. Если замок от сейфа переделать невозможно, то такой сейф необходимо заменить. Порядок хранения ключевых и других документов в сейфе, от которого утрачен ключ, до изменения секрета замка устанавливает Офицер информационной безопасности ЦЭВ.

При обнаружении признаков, указывающих на возможное несанкционированное проникновение в помещение ЦЭВ посторонних лиц, о случившемся должно быть немедленно сообщено Офицеру информационной безопасности ЦЭВ, в Управление экономической защиты и Отдел информационной безопасности. Прибывшие сотрудники Управления экономической защиты и Отдела информационной безопасности должны оценить возможность компрометации хранящихся ключевых и других документов, составить акт и принять, при необходимости, меры к локализации последствий компрометации конфиденциальной информации и к замене скомпрометированных криптоключей.

[править] 3. Обеспечение информационной безопасности электронных взаимодействий

Технологический процесс электронных взаимодействий со сторонними организациями в ЦЭВ обеспечен методическими материалами и регламентами с учетом всех подразделений "ВАША ОРГАНИЗАЦИЯ", принимающих участие в этих взаимодействиях. Контроль за обеспечением безопасности технологии электронных взаимодействий осуществляется в рамках всего комплекса технологических, организационных, технических и программных мер и средств зашиты на этапах подготовки, обработки, передачи и хранения электронных документов Офицером информационной безопасности и начальником Отдела информационной безопасности.

В подразделениях, осуществляющих электронные взаимодействия, приказом по Организации назначены ответственные за выполнение требований по информационной безопасности – офицеры информационной безопасности.

Рабочее место абонентского пункта паспортизовано. Формуляр программного обеспечения прилагается (Приложение 1).

Установленное на рабочих местах ЦЭВ программное обеспечение (ПО) средств криптографической защиты и разграничения доступа охватывается контролем целостности путем вычисления значений хеш-функций соответствующих файлов.

Запрещается внесение несанкционированных изменений в технические и программные средства ЦЭВ, а также в их состав. Обеспечен непрерывный контроль целостности программного обеспечения путем записи и проверки результатов вычисления значений хеш-функции ПО.

Программные и программно-аппаратные средства защиты Центра электронных взаимодействий обеспечивают:

  • парольный вход;
  • проверку целостности программного и информационного обеспечения;
  • криптографическую защиту передаваемой информации;
  • регистрацию действий операторов автоматизированных рабочих мест в специальных журналах (лог-файлах), доступных, только Офицеру информационной безопасности и операторам ЦЭВ.

Перечень необходимых параметров регистрации включает в себя:

  • время входа (выхода) в систему и идентификатор пользователя;
  • факт обращения к ПО абонентского пункта;
  • факты попыток несанкционированного доступа;
  • информацию о сбоях и других нештатных ситуациях.

Порядок формирования и смены паролей должен удовлетворять требованиям Правилам надежной работы в ИБС "ВАША ОРГАНИЗАЦИЯ".

Порядок обращения с ключевыми дискетами, выработки ключевой информации определяется в соответствии с положением "Об учете, хранении и использовании носителей ключевой информации (НКИ)" и регламентами по эксплуатации применяемых систем криптографической защиты (СКЗИ), установленных в ЦЭВ. Учет, хранение и выработка ключевых документов организовано в отделе сопровождения электронных расчетов Офицером информационной безопасности.

ЦЭВ относится к 4-ой категории ЭВТ. Требования по защите от утечки информации по каналам побочных электромагнитных излучений и наводок (ПЭМИН) к нему не предъявляются.

[править] 4. Требования к персоналу ЦЭВ

Пользователи, допускаемые к работе с электронными документами на специально выделенных для этого рабочих местах, назначаются приказом по Организации, с закреплением за каждым пользователем конкретной функции и полномочий, после изучения и проверки знаний правил эксплуатации и обеспечения безопасности. С пользователей берутся расписки о неразглашении и нераспространении конфиденциальной информации, секретных ключей и паролей, согласно "Положению о сведениях, составляющих конфиденциальную информацию в "ВАША ОРГАНИЗАЦИЯ" и основных мерах по организации ее защиты".

Пользователи, допускаемые к работе с электронными документами, регистрируются Офицером информационной безопасности в "Журнале учета сотрудников допущенных к участию в электронных взаимодействиях", с указанием выполняемых ими функций. Перед допуском уполномоченных сотрудников к работе Офицер информационной безопасности проводит первичный инструктаж на рабочем месте и проверяет знания сотрудника по вопросам информационной безопасности.

Лица, принимающие участие в обработке и обеспечении безопасности информации электронных платежных документов, подразделяются на следующие категории:

  • Офицер информационной безопасности, в функции которого входит регистрация пользователей, допущенных к работе в ЦЭВ, учет, хранение и выдачи ключевых дискет, контроль за выполнением требований безопасности, осуществляющий непосредственно выработку собственных ключей шифрования и личной электронной цифровой подписи, регистрацию открытых частей ключей у администратора ПРА, использование собственных действующих секретных ключей;
  • Оператор ЦЭВ, в функции которого входит осуществление внешних электронных взаимодействий, согласно утвержденным регламентам;
  • Участники электронных взаимодействий в ЦЭВ, в функции которых входит инициализация и контроль за электронными взаимодействиями;
  • Проверяющие работу ЦЭВ, в функции которых входят контроль за электронными взаимодействиями и соблюдением всех регламентов (сотрудники Управления экономической защиты и Отдела информационной безопасности).

[править] Приложение 1 - Формуляр рабочего места оператора ЦЭВ


ФОРМУЛЯР
рабочего места оператора ЦЭВ


I. Аппаратное обеспечение:

№ п/п
Блок
Номер
Примечание
1
2
3
4
       
       
       


II. Программное обеспечение:

№ п/п
ПО
Назначение
Состав
Примечание
1
2
3
4
5
         
         
         


Распечатки хэш-функций вышеперечисленного ПО прилагаются.




















[править] Приложение 2 - Журнал учета сторонних организаций, участников электронных взаимодействий


ЖУРНАЛ
учета сторонних организаций, участников электронных взаимодействий


№ п/п
Организация
Договор
Электронные взаимодействия
1
2
3
4
       
       
       




























[править] Приложение 3 - Журнал учета сотрудников, допущенных к участию в электронных взаимодействиях


ЖУРНАЛ
учета сотрудников, допущенных к участию в электронных взаимодействиях


№ п/п
Сотрудник
Должность
Функции
1
2
3
4
       
       
       




























Источник - "http://securitypolicy.ru/index.php/%D0%9F%D0%BE%D0%BB%D0%BE%D0%B6%D0%B5%D0%BD%D0%B8%D0%B5_%D0%BE%D0%B1_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8_%D1%86%D0%B5%D0%BD%D1%82%D1%80%D0%B0_%D1%8D%D0%BB%D0%B5%D0%BA%D1%82%D1%80%D0%BE%D0%BD%D0%BD%D1%8B%D1%85_%D0%B2%D0%B7%D0%B0%D0%B8%D0%BC%D0%BE%D0%B4%D0%B5%D0%B9%D1%81%D1%82%D0%B2%D0%B8%D0%B9_(%D1%84%D0%B8%D0%BD%D0%B0%D0%BD%D1%81%D0%BE%D0%B2%D1%8B%D0%B5_%D0%BE%D1%80%D0%B3%D0%B0%D0%BD%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8)"
Навигация
Инструменты
Мой профиль