СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ. Распоряжение. Центральный банк РФ (ЦБР). 25.12.08 Р-1674

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа

7.7. Общие требования по обеспечению
            информационной безопасности при использовании
             средств криптографической защиты информации

     7.7.1. СКЗИ предназначены для защиты информации при ее обработке,
хранении  и  передаче  по  каналам связи. Применение СКЗИ в АБС должно
проводиться в соответствии с моделью нарушителя, принятой организацией
БС  РФ. Рекомендуется утвердить политику (концепцию) применения СКЗИ в
организации БС РФ.
     7.7.2. СКЗИ:
     - должны  допускать встраивание в технологическую схему обработки
электронных   сообщений,   обеспечивать  взаимодействие  с  прикладным
программным    обеспечением    на   уровне   обработки   запросов   на
криптографические преобразования и выдачи результатов;
     - должны   поставляться   разработчиками   с   полным  комплектом
эксплуатационной  документации,  включая  описание  ключевой  системы,
правила    работы    с   ней,   а   также   обоснование   необходимого
организационно-штатного обеспечения;
     - должны   быть  сертифицированы  уполномоченным  государственным
органом,  либо  реализованы  на  основе рекомендованных уполномоченным
государственным   органом  алгоритмов  либо  алгоритмов,  определенных
условиями  договора  с контрагентом (клиентом) организации БС РФ, либо
соответствовать    стандартам    организации,    взаимодействующей   с
организацией БС РФ.
     7.7.3.   При   применении   СКЗИ   в  АБС  должна  поддерживаться
непрерывность  процессов  протоколирования  работы  СКЗИ и обеспечения
целостности   программного   обеспечения   для   всех   звеньев   АБС,
взаимодействующих со СКЗИ.
     7.7.4.  ИБ процессов изготовления ключевых документов СКЗИ должна
обеспечиваться     комплексом     технологических,    организационных,
технических и программных мер и средств защиты.
     7.7.5.  Для повышения уровня безопасности при эксплуатации СКЗИ и
их   ключевых   систем   в  АБС  рекомендуется  реализовать  процедуры
мониторинга,  регистрирующего  все  значимые  события,  состоявшиеся в
процессе обмена электронными сообщениями, и все инциденты ИБ.
     7.7.6.  Порядок  применения  СКЗИ в АБС определяется руководством
организации БС РФ и должен включать:
     - порядок  ввода в действие, включая процедуры встраивания СКЗИ в
АБС;
     - порядок эксплуатации;
     - порядок восстановления работоспособности в аварийных случаях;
     - порядок внесения изменений;
     - порядок снятия с эксплуатации;
     - порядок управления ключевой системой;
     - порядок  обращения  с  носителями  ключевой информации, включая
действия при смене и компрометации ключей.
     7.7.7.   Ключи   ЭЦП   и   (или)   иных   СКЗИ  (например,  кодов
аутентификации  <*>)  должны  изготавливаться  в  каждой организации и
(или)  физическим  лицом  самостоятельно. В случае изготовления ключей
для   одной   организации  БС  РФ  в  другой  организации  правовые  и
организационные  следствия  таких  действий  должны  быть  отражены  в
соответствующем договоре.
--------------------------------
     <*> Код аутентификации - средство защиты информации, используемое
для  контроля  целостности  и  подтверждения  подлинности  электронных
документов.    Код    аутентификации    позволяет    подтвердить   его
принадлежность зарегистрированному владельцу.

Фрагмент документа "СТАНДАРТ БАНКА РОССИИ СТО БР ИББС-1.0-2008. ОБЕСПЕЧЕНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ОРГАНИЗАЦИЙ БАНКОВСКОЙ СИСТЕМЫ РОССИЙСКОЙ ФЕДЕРАЦИИ. ОБЩИЕ ПОЛОЖЕНИЯ".

Предыдущий фрагмент <<< ...  Оглавление  ... >>> Следующий фрагмент

Полный текст документа