Документ утратил силу или отменен. Подробнее см. Справку

Приложение 1

к Положению Банка России

от 29.08.2008 N 321-П

"О порядке представления

кредитными организациями

в уполномоченный орган

сведений, предусмотренных

Федеральным законом

"О противодействии легализации

(отмыванию) доходов,

полученных преступным путем,

и финансированию терроризма"

ПОРЯДОК

ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

ПРИ ПЕРЕДАЧЕ-ПРИЕМЕ ОЭС

1. Передача ОЭС кредитной организацией и прием ОЭС территориальным учреждением осуществляются с применением СКЗИ: средств формирования КА и средств шифрования. Конкретные СКЗИ и способы их использования определяются Банком России.

2. Установка и настройка СКЗИ на автоматизированное рабочее место, с которого осуществляется передача ОЭС кредитной организации (далее - АРМ), выполняются с учетом требований, изложенных в эксплуатационной документации на СКЗИ, в присутствии администратора АРМ, назначаемого кредитной организацией. При каждом запуске АРМ должен быть обеспечен контроль целостности программного обеспечения СКЗИ.

3. Технологический процесс передачи и обработки ОЭС с использованием СКЗИ регламентируется и обеспечивается инструктивными и методическими материалами.

4. Каждый из участников обмена (кредитная организация и территориальное учреждение) может иметь резервные ключи КА и ключи шифрования.

5. Каждый из участников обмена определяет и утверждает порядок учета, хранения и использования носителей секретных ключей КА и ключей шифрования, который должен полностью исключать возможность несанкционированного доступа к ним.

6. Открытые ключи КА, изготавливаемые кредитной организацией и используемые при формировании КА ОЭС, подлежат регистрации в регистрационном центре территориального учреждения. Для регистрации ключа средствами СКЗИ изготавливается регистрационная карточка в двух экземплярах (приложение 2 к настоящему Положению), один из которых остается в территориальном учреждении, другой возвращается кредитной организации. Порядок распределения серий и номеров ключей КА определяется Банком России.

7. Ключи шифрования для работы с ОЭС изготавливаются Банком России и передаются кредитной организации территориальным учреждением вместе с соответствующим справочником открытых ключей шифрования. Для данных ключей изготовление регистрационной карточки не требуется.

8. Факт передачи территориальным учреждением ключей шифрования и соответствующего справочника открытых ключей шифрования кредитной организации регистрируется в соответствии с порядком, определяемым территориальным учреждением (оформляется актом или записью в журнале). Форма журнала передачи ключей шифрования или форма акта передачи ключей шифрования устанавливается территориальным учреждением.

9. Руководство каждого из участников обмена утверждает список ответственных исполнителей, имеющих доступ к носителям секретных ключей КА и ключей шифрования (далее - уполномоченные лица), с указанием конкретной информации по каждому уполномоченному лицу.

10. Для хранения носителей секретных ключей КА и ключей шифрования в помещениях участников обмена должны устанавливаться металлические хранилища, оборудованные приспособлениями для опечатывания и запирающими устройствами с двумя экземплярами ключей (один экземпляр ключей хранится у уполномоченного лица, другой - в службе безопасности или у руководителя кредитной организации, территориального учреждения). Хранение носителей секретных ключей КА и ключей шифрования допускается в одном хранилище с другими документами в отдельном контейнере, опечатываемом уполномоченным лицом.

11. Доступ неуполномоченных лиц к носителям секретных ключей КА и ключей шифрования не допускается.

12. По окончании рабочего дня, а также в то время, когда формирование и передача ОЭС не осуществляется, носители секретных ключей КА и ключей шифрования должны находиться в хранилищах.

13. Не допускается:

снимать несанкционированные копии с носителей секретных ключей КА и ключей шифрования;

знакомить с содержанием носителей секретных ключей КА и ключей шифрования неуполномоченных лиц или передавать носители секретных ключей КА и ключей шифрования неуполномоченным лицам;

выводить секретные ключи КА и ключи шифрования на дисплей (монитор) персональной электронной вычислительной машины (далее - ПЭВМ) или принтер;

устанавливать носитель секретных ключей КА и ключей шифрования в считывающее устройство ПЭВМ АРМ в непредусмотренных режимах функционирования системы обработки и передачи ОЭС, а также в другие ПЭВМ;

записывать на носитель секретных ключей КА и ключей шифрования постороннюю информацию.

14. При компрометации секретного ключа КА и (или) ключа шифрования, под которой понимается событие, определенное владельцем ключа КА и (или) ключа шифрования как ознакомление неуполномоченным лицом (лицами) с его секретным ключом КА и (или) ключом шифрования, участник обмена, допустивший компрометацию, обязан немедленно предпринять все меры для прекращения любых операций с ОЭС с использованием скомпрометированного ключа КА и (или) ключа шифрования, а также письменно проинформировать о факте компрометации других участников обмена не позднее рабочего дня, следующего за днем компрометации.

15. При компрометации секретного ключа КА и (или) ключа шифрования участникам обмена необходимо вывести данный секретный и соответствующий ему открытый ключ из действия и организовать их внеплановую замену.

16. По факту компрометации секретного ключа КА и (или) ключа шифрования участник обмена, допустивший компрометацию, организовывает и проводит служебное расследование, результаты которого отражаются в акте служебного расследования.

17. Кредитная организация и территориальное учреждение принимают согласованное решение о сроках замены скомпрометированного ключа КА и (или) ключа шифрования и о дальнейших действиях по обмену ОЭС до замены скомпрометированного ключа КА и (или) ключа шифрования.

18. В случаях увольнения, перевода в другое подразделение, на другую должность, изменения функциональных обязанностей уполномоченного лица, влекущих прекращение его доступа к носителям секретных ключей КА и (или) ключей шифрования, должна быть проведена замена ключей, к которым он имел доступ.

19. Допускается использование в качестве носителей секретных ключей КА и (или) ключей шифрования любых поддерживаемых СКЗИ типов носителей. При изготовлении ключей (копий ключей) тип носителей, выбранных для размещения секретных ключей, регламентируется внутренними документами кредитной организации. Секретные ключи шифрования, полученные кредитной организацией в территориальном учреждении, являются оригиналами. В кредитной организации в соответствии с внутренними документами с оригинала изготавливается необходимое количество рабочих копий с использованием программного обеспечения СКЗИ на выбранный допустимый тип носителя.

При использовании в качестве носителей секретных ключей КА и ключей шифрования устройств, подключаемых к USB-порту ПЭВМ, принимаются все меры для исключения возможности несанкционированного копирования информации.