Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".
7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации 7.7.1. СКЗИ предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи. Применение СКЗИ в АБС должно проводиться в соответствии с моделью нарушителя, принятой организацией БС РФ. Рекомендуется утвердить политику (концепцию) применения СКЗИ в организации БС РФ. 7.7.2. СКЗИ: - должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов; - должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения; - должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом (клиентом) организации БС РФ, либо соответствовать стандартам организации, взаимодействующей с организацией БС РФ. 7.7.3. При применении СКЗИ в АБС должна поддерживаться непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для всех звеньев АБС, взаимодействующих со СКЗИ. 7.7.4. ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты. 7.7.5. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем в АБС рекомендуется реализовать процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты ИБ. 7.7.6. Порядок применения СКЗИ в АБС определяется руководством организации БС РФ и должен включать: - порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС; - порядок эксплуатации; - порядок восстановления работоспособности в аварийных случаях; - порядок внесения изменений; - порядок снятия с эксплуатации; - порядок управления ключевой системой; - порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей. 7.7.7. Ключи ЭЦП и (или) иных СКЗИ (например, кодов аутентификации <*>) должны изготавливаться в каждой организации и (или) физическим лицом самостоятельно. В случае изготовления ключей для одной организации БС РФ в другой организации правовые и организационные следствия таких действий должны быть отражены в соответствующем договоре. -------------------------------- <*> Код аутентификации - средство защиты информации, используемое для контроля целостности и подтверждения подлинности электронных документов. Код аутентификации позволяет подтвердить его принадлежность зарегистрированному владельцу. |
Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".