7.7. Общие требования по обеспечению информационной безопасности при использовании средств криптографической защиты информации
7.7.1. СКЗИ предназначены для защиты информации при ее обработке, хранении и передаче по каналам связи. Применение СКЗИ в АБС должно проводиться в соответствии с моделью нарушителя, принятой организацией БС РФ. Рекомендуется утвердить политику (концепцию) применения СКЗИ в организации БС РФ.
- должны допускать встраивание в технологическую схему обработки электронных сообщений, обеспечивать взаимодействие с прикладным программным обеспечением на уровне обработки запросов на криптографические преобразования и выдачи результатов;
- должны поставляться разработчиками с полным комплектом эксплуатационной документации, включая описание ключевой системы, правила работы с ней, а также обоснование необходимого организационно-штатного обеспечения;
- должны быть сертифицированы уполномоченным государственным органом, либо реализованы на основе рекомендованных уполномоченным государственным органом алгоритмов либо алгоритмов, определенных условиями договора с контрагентом (клиентом) организации БС РФ, либо соответствовать стандартам организации, взаимодействующей с организацией БС РФ.
7.7.3. При применении СКЗИ в АБС должна поддерживаться непрерывность процессов протоколирования работы СКЗИ и обеспечения целостности программного обеспечения для всех звеньев АБС, взаимодействующих со СКЗИ.
7.7.4. ИБ процессов изготовления ключевых документов СКЗИ должна обеспечиваться комплексом технологических, организационных, технических и программных мер и средств защиты.
7.7.5. Для повышения уровня безопасности при эксплуатации СКЗИ и их ключевых систем в АБС рекомендуется реализовать процедуры мониторинга, регистрирующего все значимые события, состоявшиеся в процессе обмена электронными сообщениями, и все инциденты ИБ.
7.7.6. Порядок применения СКЗИ в АБС определяется руководством организации БС РФ и должен включать:
- порядок ввода в действие, включая процедуры встраивания СКЗИ в АБС;
- порядок восстановления работоспособности в аварийных случаях;
- порядок снятия с эксплуатации;
- порядок управления ключевой системой;
- порядок обращения с носителями ключевой информации, включая действия при смене и компрометации ключей.
7.7.7. Ключи ЭЦП и (или) иных СКЗИ (например, кодов аутентификации <*>) должны изготавливаться в каждой организации и (или) физическим лицом самостоятельно. В случае изготовления ключей для одной организации БС РФ в другой организации правовые и организационные следствия таких действий должны быть отражены в соответствующем договоре.
--------------------------------
<*> Код аутентификации - средство защиты информации, используемое для контроля целостности и подтверждения подлинности электронных документов. Код аутентификации позволяет подтвердить его принадлежность зарегистрированному владельцу.
- Гражданский кодекс (ГК РФ)
- Жилищный кодекс (ЖК РФ)
- Налоговый кодекс (НК РФ)
- Трудовой кодекс (ТК РФ)
- Уголовный кодекс (УК РФ)
- Бюджетный кодекс (БК РФ)
- Арбитражный процессуальный кодекс
- Конституция РФ
- Земельный кодекс (ЗК РФ)
- Лесной кодекс (ЛК РФ)
- Семейный кодекс (СК РФ)
- Уголовно-исполнительный кодекс
- Уголовно-процессуальный кодекс
- Производственный календарь на 2023 год
- МРОТ 2024
- ФЗ «О банкротстве»
- О защите прав потребителей (ЗОЗПП)
- Об исполнительном производстве
- О персональных данных
- О налогах на имущество физических лиц
- О средствах массовой информации
- Производственный календарь на 2024 год
- Федеральный закон "О полиции" N 3-ФЗ
- Расходы организации ПБУ 10/99
- Минимальный размер оплаты труда (МРОТ)
- Календарь бухгалтера на 2024 год
- Частичная мобилизация: обзор новостей