Приложение № 1 «Перечень сведений и документов, необходимых для аттестации Клиента в системе электронного документооборота»
ПЕРЕЧЕНЬ
сведений и документов, необходимых для аттестации Клиента в системе электронного документооборота
Для прохождения аттестации Клиент предоставляет в АО БАНК МПБ (Администрацию Системы) следующие документы:
заявление на обслуживание в Системе с указанием реквизитов Клиента и телефонного номера для экстренной связи («горячей линии») (в произвольной форме);
анкета Клиента (по установленной Банком форме);
сведения о наличии у Клиента необходимых условий (включая технические средства) для оборудования и эксплуатации аппаратно-программных средства абонентского пункта Системы;
список уполномоченных лиц Клиента, которым предоставлено право эксплуатации аппаратно-программных средств абонентского пункта Системы;
список уполномоченных лиц Клиента, которые вправе подписывать электронные документы электронной подписью;
список должностных лиц Клиента, которые вправе осуществлять шифрование документов;
приказ о назначении администратора безопасности абонентского пункта Системы;
сертификаты ключей подписи и шифрования Клиента (уполномоченных лиц Клиента).
АО БАНК МПБ (администрация Системы) рассматривает заявление Клиента на обслуживание в Системе только в случае предоставления полного комплекта заявочной документации.
Приложение № 2 «Перечень требований к Клиентам, осуществляющим эксплуатацию сертифицированных компетентным органом средств криптографической защиты информации»
ПЕРЕЧЕНЬ
требований к Клиентам, осуществляющим эксплуатацию сертифицированных компетентным органом средств криптографической защиты информации
Требования по организационному обеспечению безопасности СКЗИ
Техническое обслуживание сертифицированных компетентным органом шифровальных средств могут осуществлять только организации, имеющие соответствующие лицензии.
Клиентом должны быть назначены должностные лица, ответственные за разработку и практическое осуществление мероприятий по обеспечению функционирования и безопасности СКЗИ.
Вопросы обеспечения функционирования и безопасности СКЗИ должны быть отражены в специально разработанных документах, утвержденных уполномоченным лицом Клиента, с учетом эксплуатационной документации на СКЗИ.
Требования по размещению, специальному оборудованию, охране и режиму в помещениях, в которых размещены СКЗИ
Специальное оборудование, охрана и режим в помещениях, в которых размещены СКЗИ (далее помещения), должны обеспечивать безопасность информации, СКЗИ и шифроключей, сведение к минимуму возможности неконтролируемого доступа к СКЗИ, просмотра процедур работы с СКЗИ посторонними лицами.
Порядок допуска в помещения определяется внутренней инструкцией Клиента, которая разрабатывается с учетом специфики и условий его функционирования.
При расположении помещений на первых и последних этажах зданий, а также при наличии рядом с окнами балконов, пожарных лестниц и т.п., окна помещений оборудуются металлическими решетками, ставнями, охранной сигнализацией или другими средствами, препятствующими несанкционированному доступу в помещения. Эти помещения должны иметь прочные входные двери, на которые устанавливаются надежные замки.
Для хранения шифроключей, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечиваются металлическими шкафами (хранилищами, сейфами), оборудованными внутренними замками с двумя экземплярами ключей.
Дубликаты ключей от хранилищ и входных дверей должны храниться в сейфе ответственного лица, назначаемого руководством Клиента.
Устанавливаемый руководителем Клиента порядок охраны помещений должен предусматривать периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны.
Размещение и установка СКЗИ осуществляется в соответствии с требованиями документации на СКЗИ. Системные блоки ЭВМ с СКЗИ должны быть оборудованы средствами контроля их вскрытия.
Требования по обеспечению безопасности шифроключей
Все поступающие для использования шифроключи и инсталляционные дискеты должны браться Клиентом на поэкземплярный учет в выделенных для этих целей журналах.
Учет и хранение носителей шифроключей и инсталляционных дискет, непосредственная работа с ними поручается специально назначенным работникам Клиента. Эти работники несут персональную ответственность за сохранность шифроключей.
Учет изготовленных для пользователей шифроключей, регистрация их выдачи для работы, возврата от пользователей и уничтожения ведется Клиентом.
Хранение шифроключей, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, не предусмотренное правилами пользования СКЗИ, применение.
Наряду с этим должна быть предусмотрена возможность раздельного безопасного хранения рабочих и резервных шифроключей (при наличии), предназначенных для использования в случае компрометации рабочих шифроключей в соответствии с правилами пользования СКЗИ.
При пересылке шифроключей должны быть обеспечены условия транспортировки, исключающие возможность физических повреждений и внешнего воздействия на записанную ключевую информацию.
В случае отсутствия у оператора СКЗИ индивидуального хранилища шифроключи по окончании рабочего дня должны сдаваться лицу, ответственному за их хранение.
Уполномоченными лицами Клиента периодически должен проводиться контроль сохранности входящего в состав СКЗИ оборудования, а также всего используемого программного обеспечения для предотвращения внесения программно-аппаратных закладок и программ вирусов.
Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) СКЗИ
К работе с СКЗИ допускаются решением руководства Клиента только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования, эксплуатационную документацию и прошедшие обучение работе с СКЗИ.
Руководитель Клиента или лицо, уполномоченное на руководство эксплуатацией шифровальных средств, должно иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.
|