Приложение 3

к Условиям по защите информации

УСЛОВИЯ УПРАВЛЕНИЯ КРИПТОГРАФИЧЕСКИМИ КЛЮЧАМИ

1. Условия управления криптографическими ключами (далее - Условия) выполняются Клиентом (косвенным участником Клиента, Пользователем) при управлении ключами электронной подписи и ключами шифрования, применяемыми при обмене ЭС при переводе денежных средств в рамках платежной системы Банка России или при обмене ФС.

2. Клиент (косвенный участник Клиента, Пользователь) может иметь несколько криптографических ключей, а также при необходимости резервные криптографические ключи.

3. Криптографические ключи Клиент (косвенный участник Клиента, Пользователь) изготавливает самостоятельно на учтенных ключевых носителях с использованием средств, входящих в комплект поставки СКЗИ.

Допускается генерация Клиентом (косвенным участником Клиента, Пользователем) криптографических ключей в регистрационном центре, для чего Банк России предоставляет Клиенту (косвенному участнику Клиента, Пользователю) рабочее место для генерации криптографических ключей, оборудованное СКЗИ (при этом согласие Клиента (косвенного участника Клиента, Пользователя) на изготовление криптографических ключей на технических средствах Банка России должно быть документально зафиксировано и оформляться при каждом изготовлении криптографических ключей).

Для самостоятельного изготовления криптографических ключей Клиент (косвенный участник Клиента, Пользователь) получает в регистрационном центре данные, необходимые для заполнения полей сертификата криптографического ключа.

4. Взаимодействие Банка России с Клиентом (Пользователем) в части управления ключами осуществляется АКС Банка России.

Клиент (Пользователь) не позднее одного месяца до срока окончания действия криптографического ключа должен инициировать проведение его плановой смены, в случае необходимости инициировать проведение внеплановой смены криптографического ключа. Криптографические ключи с истекшим сроком действия не используются. Взаимодействие с Банком России по вопросам управления ключами со стороны Клиента (Пользователя) осуществляется АКС Клиента (Пользователя). Для обеспечения бесперебойной работы по управлению криптографическими ключами рекомендуется назначать не менее двух АКС Клиента (Пользователя).

5. Клиент обеспечивает сохранность своих криптографических ключей и обеспечение косвенным участником Клиента сохранности его криптографических ключей.

Пользователь обеспечивает сохранность своих криптографических ключей.

6. Организационно-техническая информация, необходимая для взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя), доводится в Регламенте взаимодействия Банка России и Клиента (косвенного участника Клиента, Пользователя) при управлении криптографическими ключами (далее - Регламент), предоставляемом Клиенту (косвенному участнику Клиента, Пользователю) подразделением Банка России, в лице которого Банк России заключил Договор.

Клиент (Пользователь) обязуется соблюдать положения, приведенные в Регламенте. Клиент включает в договор с косвенным участником Клиента условие о выполнении косвенным участником Клиента Регламента.

7. Регламент содержит следующее.

7.1. Порядок получения данных, необходимых для заполнения полей сертификата криптографического ключа.

7.2. Порядок изготовления и сертификации криптографических ключей.

7.3. Порядок изготовления регистрационной карточки сертификата ключа на бумажном носителе.

7.4. Порядок плановой и внеплановой смены криптографических ключей.

7.5. Порядок действий в случае компрометации криптографических ключей.

7.6. Порядок действий с криптографическими ключами в случае доступа (подозрении на доступ) к ним неуполномоченных лиц, а также в случае прекращения полномочий работников по доступу к указанным ключам.

7.7. Порядок уничтожения криптографических ключей.

7.8. Порядок взаимодействия АКС Клиента (Пользователя) и АКС Банка России по вопросам управления ключевой системой.

7.9. Наименование регистрационного центра.

8. Особенности управления криптографическими ключами косвенного участника Клиента.

Клиенту при формировании договора, заключаемого между Клиентом и косвенным участником Клиента, в части управления криптографическими ключами косвенного участника Клиента следует руководствоваться настоящими Условиями, в том числе следующим.

8.1. Клиент доводит до косвенного участника Клиента настоящие Условия и Регламент.

8.2. Косвенный участник Клиента назначает АКС и доводит эту информацию до Клиента.

8.3. Клиент передает информацию об АКС косвенного участника Клиента в регистрационный центр для возможности получения АКС косвенного участника Клиента в регистрационном центре данных, необходимых для заполнения полей сертификата криптографического ключа.

8.4. АКС косвенного участника Клиента самостоятельно получает данные, необходимые для заполнения полей сертификата криптографического ключа в регистрационном центре.

8.5. Генерация криптографических ключей косвенного участника Клиента осуществляется либо самостоятельно АКС косвенного участника Клиента на технических средствах косвенного участника Клиента, технических средствах Клиента, технических средствах Банка России, либо АКС Клиента на технических средствах Клиента в присутствии АКС косвенного участника Клиента. Доступ к криптографическим ключам косвенного участника Клиента со стороны АКС Клиента должен быть исключен.

8.6. Дальнейшее взаимодействие по управлению криптографическими ключами косвенного участника Клиента осуществляется между АКС косвенного участника Клиента и АКС Клиента с последующим взаимодействием АКС Клиента с АКС Банка России и производится в соответствии с Регламентом.

9. Регистрационная карточка сертификата ключа изготавливается в двух экземплярах и содержит:

наименование владельца ключа электронной подписи;

наименование используемого СКЗИ и стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;

информацию, идентифицирующую ключ электронной подписи (идентификатор <28> и (или) номер ключа электронной подписи <29>, идентификатор и (или) номер серии);

--------------------------------

<28> При наличии.

<29> При наличии.

информацию о назначении ключа электронной подписи (область применения);

уникальный номер сертификата ключа проверки электронной подписи;

распечатку ключа проверки электронной подписи в шестнадцатеричной системе счисления;

даты начала и окончания действия ключа электронной подписи;

даты начала и окончания действия ключа проверки электронной подписи;

фамилию и инициалы, должность и подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от его имени регистрационных карточек сертификатов ключей, заверенные оттиском печати владельца ключа электронной подписи (при ее наличии);

фамилию и инициалы, подпись АКС Банка России.

Регистрационная карточка сертификата ключа косвенного участника Клиента дополнительно заверяется собственноручной подписью руководителя (лица, его замещающего, или уполномоченного лица) Клиента, а также печатью Клиента (при ее наличии).

Регистрационная карточка сертификата ключа может распечатываться на одном листе или нескольких страницах. При распечатке регистрационной карточки на нескольких страницах каждая страница должна содержать подпись руководителя (или замещающего его лица) владельца ключа электронной подписи или уполномоченного на подписание от имени Клиента (Пользователя) регистрационных карточек сертификатов ключей Клиента (Пользователя), заверенную оттиском печати владельца ключа электронной подписи (при ее наличии).

Один экземпляр регистрационной карточки сертификата ключа на бумажном носителе хранится в регистрационном центре, другой - у владельца ключа. Ключ электронной подписи считается зарегистрированным со дня передачи в регистрационный центр надлежащим образом заверенного экземпляра регистрационной карточки сертификата ключа на бумажном носителе.

Порядок ввода в действие ключей электронной подписи и ключей шифрования определяется Регламентом.

10. При компрометации или подозрении на компрометацию криптографического ключа использование скомпрометированного ключа должно быть прекращено. Пользователь ключа в соответствии с внутренним регламентом обязан немедленно проинформировать о факте компрометации/подозрении на компрометацию АКС, АИБ и Руководителя Клиента (Пользователя). В случае принятия Клиентом (Пользователем) решения о компрометации криптографического ключа Клиент (Пользователь) должен уведомить регистрационный центр о необходимости аннулирования сертификата скомпрометированного ключа и проведении его внеплановой смены.

По факту компрометации криптографического ключа владелец ключа организовывает служебное расследование, результаты которого оформляются актом. Клиент (Пользователь) обязан направить письмо с приложенным экземпляром указанного акта Клиента (Пользователя) или косвенного участника Клиента в регистрационный центр не позднее трех рабочих дней со дня окончания расследования.

11. В случае увольнения или прекращения полномочий работника по доступу к криптографическому ключу заблаговременно, в сроки, установленные Регламентом, должна быть проведена замена криптографического ключа, к которому указанный работник имел единоличный доступ.

12. Уничтожение криптографических ключей на ключевых носителях проводится комиссией, состоящей из представителей Клиента (Пользователя), с составлением акта (для косвенного участника Клиента в комиссию включаются также представители косвенного участника Клиента).